태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Security Indicator/Insight Security'에 해당되는 글 212건

  1. 2015.03.28 구글 악성링크 차단 공개 ( 궤도위성의 탐지와 새로운 대안에 대해 ..)
  2. 2014.06.02 [빛스캔] 한국 인터넷 위협 요약-5월4주차
  3. 2014.05.26 [빛스캔]한국인터넷 위협 요약-5월3주 (대형 사이트를 통한 유포 지속)
  4. 2014.05.16 한노총,우정노조,화학노조 악성코드 유포 (APT 침입 대응 필요)
  5. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-5월2주차 (줌 파밍)
  6. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-4월4주차
  7. 2014.05.15 [빛스캔]한국 인터넷 위협 요약- 5월 1주차
  8. 2014.04.16 [ 빛스캔]한국 인터넷 위협요약 -4월 2주차
  9. 2014.04.07 [빛스캔]한국인터넷 위협 요약- 2014년 4월1주차
  10. 2014.03.28 [빛스캔] 써드파티(플러그인 및 이벤트)서비스를 통한 심각한 수준의 악성코드 유포
  11. 2014.03.27 [빛스캔] 한국 인터넷 위협 요약-3월4주차 : 위기의 안드로이드
  12. 2014.03.20 [빛스캔]한국 인터넷 위협(요약) 3월 3주차 - 모바일과 결합된 공격
  13. 2014.03.13 [빛스캔] 한국 인터넷 위협 요약- 3월 2주차
  14. 2014.03.07 2012년 티켓몬스터 악성코드 유포-탐지내역
  15. 2014.03.07 [빛스캔]2014년 3월 1주차 인터넷 위협 요약- 경고
  16. 2014.02.27 [빛스캔]2월4주차 인터넷위협 브리핑 – “경고레벨 상향”
  17. 2014.02.20 [빛스캔]2014.2월3주차- PCDS 요약- 변화된 파밍
  18. 2014.02.13 [빛스캔]2014.2월2주차 인터넷 위협동향-요약 (지마켓)
  19. 2014.02.07 [빛스캔] 2013년 한국 인터넷 위협 동향- 연간보고서
  20. 2014.02.03 [빛스캔]2013.12월 월간 - 한국인터넷 위협분석- 공개용
  21. 2014.02.03 [빛스캔]2014.1월4주차 한국 인터넷 위협동향-요약
  22. 2014.01.20 금융정보유출은 경영진의 문제 - II
  23. 2014.01.18 금융정보 유출의 문제는 경영진의 문제. 보안은 비용이 아니다.
  24. 2014.01.16 구글 Stopbadware 차단 모델의 공식 활용의미.
  25. 2014.01.09 [빛스캔]2014년1월1주차 한국인터넷 위협분석-요약
  26. 2014.01.06 2014 IT보안의 현실과 직면한 문제, 그리고 해결의 실마리
  27. 2013.12.27 [빛스캔]2013년12월4주차 한국 인터넷 위협분석- 요약
  28. 2013.12.19 [빛스캔] 2013.12월3주차 한국인터넷 위협브리핑-요약
  29. 2013.12.13 [빛스캔]2013년12월2주차 한국인터넷위협-요약 (경고)
  30. 2013.12.05 [빛스캔]2013년 12월1주차 한국 인터넷 위협 요약- 경고

구글 크롬 보안 기능, 파이어폭스서도 쓴다

새로운 세이프 브라우징 API 공개

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150327103601


이걸 하기 위해 무려 10년 가까운 준비를 한 구글.

이게 그냥 공짜일꺼라 생각하면 착각.

개인에게는 주어져도, 기업은 ?? 

게다가 몇년전 이야기 했듯이 제품제조하는 기업과 서비스 제공하는 기업에서 사용하려면 사용료는 ?...


근데 이 모든걸 제쳐두고 근원적인 질문인데!  구글이 경고하는게 과연 Just on time 일까? 2~3일의 차이는 온라인에선 광년과도 같은 차이이다.


누가 대응 할 수 있을까?

무엇을 준비 했을까?



아무도 안했다. 아니 못했다.!


게다가 엄청난 노력과 비용이 들어가는 서비스가 아닌 모두 그 당시의 기술로만 해결하려 했을 뿐이다.(국내의 사례를 들 필요도 없다.)

빠른 접속과 빠른 분석 그리고 거대한 스케일.  이제 경쟁 기업들은 넘을 수 없는 벽이다. 



그렇다면 과연 현실에서도 구글의 방식이 적합한가를 살펴 보는 것은 당연한 일이다. 

누구도 엄두를 내지 못하는 상황이 지금인데, 그래도 제한적 영역에서는 확인할 수 있는 내용은 있다. 그 제한적 영역이 전 세계에서 가장 강도높은 실험이 발생하는 한국이라면 의미가 없다고는 할 수 없다. 지금까지 사이버 보안 사고 Top 10을 꼽으면 그 중 3~4개는 항상 랭크되는 곳이 이곳이다.



구글의 문제는 "스피드"


 1.모든 클라이언트 단말까지 내려가는 정보( 언제 내려가나? )  

 2.탐지 정보의 신속성 부족 ( 2~3일 지연이다. 궤도위성을 생각해보면..)

    물론 전혀 몰랐던 자들에게는 늦었다는 것 조차도 모르고, 신선할 것이다.



구글의 생각과 기술보다 앞서 있는 공격자들을 넘기 위해서는 대규모도 필요하지만 무엇보다 중요한것은 "스피드"다. 2~3일 뒷북을 넘을 수 있는 스피드.


관찰을 기준으로 살펴보자. 지구를 관찰 하듯이 전 세계 인터넷을 관찰한다면 유형에는  두 가지가 있다. 궤도를 따라도는 궤도위성과 정지위성으로 나눌 수 있고, 그 위성의 용도와 같이 전 세계 인터넷을 관찰하는 것도 똑같다. 사이버 미사일을 요격하는데 주기적으로 도는 위성이 무얼 할 수 있을까? 미사일은 머리위에 있거나 이미 폭파 되었는데 요란한 사이렌만 울리는 것과 다를 것이 없다.



"궤도위성""정지위성"의 쓰임과 활용은 다르다. 


" 전 세계를 대상으로 서비스를 제공하는 구글의 입장에서는 서비스 신뢰성 차원에서 뒤늦은 정보일지라도 궤도위성이 정확한 판단이다. 그러나 서비스 제공이 아닌 생존의 목적이라면 달라야 할 것이다. 위험을 경고 하고 대응해야 하는 입장에서는 정지 위성이 존재해야만 한다."


인터넷 사용이 해외 사이트 사용 비율이 높다면 궤도위성 관찰이 도움될 것이고, 국내 사용 비율이 높다면 정지위성이 활용성 높다.  국내에서의 국내 서비스 사용 비율은 줄잡아  98% 이상 아닐까?   그렇다면 궤도위성으로 탐지되는 위험이 더 빠르고 정확할까? 정지위성으로 탐지하는 위험이 더 빠를까?  물으나 마나한 이야기다. 실생활에서도 


구글은 Bottom-up  방식이다. 모든 정보가 단말로 내려가서 대응을 하는 체계. API를 사용한다 해도 동일하다. 현재 문제 해결을 위해서는 Top -down 방식이 스피드 부족을 극복할 수 있는 방향에 가깝다.  



만약.. 정말 만약에  정지위성을 주요 포인트 국가에 올려 두고 관찰하는 개념이 된다면 다른 승부가 가능해진다. 


도위성이 관찰하는 사이버 공격과 위험은 공격 발생 이후 한참이 지나야 사이렌이 울린다.  정지위성은 공격 시점에 사이렌이 울린다. 초동대처의 중요성은 누구나 알 것이다.  



사이버 공간에서의 역량은 앞으로 "정지위성"의 확보를 하고 있는 것에 따라 확연한 차이를 보이게 될 것이다. 공격과 위험을 인지하는 역량이 전체에서 90% 이상이다. 궤도위성으로 탐지가 될 수 있을 것이라는 생각은 하지 않는 것이 바람직하다. 그나마 피해가 있었구나 정도의 사후 확인 정도일 뿐.  대응을 하고 싶다고? 그럼 현실을 직시하라.


현재처럼 네트웍 레벨에서의 IDS/IPS 관찰로 커버되지 않는 위협, 파일 단위의 악성코드 대응 ( 요즘은 몇초에 몇만개라고 하더라..)과 같은 것은 이미 대응의 범주에서 가장 낮은 영역에 있다. 관찰되지 않는 위협은 현실이 된다. 이미 한국은 현실이다.  미사일 요격으로 유명한 이스라엘의 아이언돔도 핵심 기반은 정확한 관찰이다.  관찰 정보가 부실하다면 여기저기 불바다는 당연한 일일 것이다. 지금까지 한국에서 발생된 대규모 사이버 보안 사고에서 언제 불이 안난 적이 있었나? 아니면 위험 경고의 목소리라도 있었던가? 


사이버 대응체계의 구축은 "사이버돔" 상공 위에서 날라오는 미사일을 볼 수 있어야 가능해 질 것이다. 지금처럼 머리 위에 보인 후에 대응하는 것으로는 날마다 새로워지는 공격기술과 전략을 넘을 수 없다.  아이언돔의 사례와 같이 정확한 관찰을 하고 정확한 지점으로 요격을 하는 것이 보호의 기본 전략이다.  



< 대응 개념도 및 정지위성의 관찰 중요성>



이제 구글은 거대한 결과물을 수확하려 한다. 경쟁자가 없다. 공격에 맞춰 고민한 새로운 전략은 아직 꽃피지 못하였다. 


춘래불사춘이나 봄은 반드시 오리라! -바다란


**구글의 준비 시작은 http://p4ssion.com/8 , http://p4ssion.com/10, p4ssion.com/11 

2007년에 작성하여 공개한 내용을 보시면 지금의 스탠스는 이미 예상된 것이죠.  근 8~9년 이상 다들 뭐 했더라?  Google online security strategy




Posted by 바다란

한국 인터넷 위협(요약) - 5월 4주차

 

발행일: 2014년 5월 28일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180여 만개, 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에도 위협은 지속되고 있는 상황에서 주말에 대형 사이트를 통해 악성코드가 유포되는 현상이 지속적으로 나타나고 있다. 또한, 일부 레드킷이 국내로 유입되어 영향을 주고 있어 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 위협 지속 – 대형 웹사이트를 중심으로 과감한 악성코드 유포
  • 악성코드 유포지의 변화 – 5월 2주차 이후, 국내 도메인 이용 비율 증가
  • 레드킷 – 일부 국내사이트를 통한 활동 증가
  • 금융 – 포털(네이버, 다음) 사이트 배너 광고를 통한 파밍 사이트 연결, 재출현

주간 동향(Weekly Trend)

[표 1. 5월 4주차 한국 인터넷 위협지수]

4월 5주차부터 한국 인터넷 위협지수는 계속 "경고" 단계를 유지하고 있는 가운데 악성코드의 위협은 현재까지도 이어지고 있으며 대형사이트를 중심으로 악성코드를 유포하는 현상은 여전히 반복되고 있다. 특히, 최근 공격자는 국내 도메인은 차단이 어렵다는 점을 이용하여 악성코드 유포지를 국내 사이트를 활용하는 비율이 높아졌으며 바이너리도 기존에 파밍 악성코드뿐만 아니라 키로깅 기능과 같이 개인정보를 탈취하기 위한 다양한 악성코드가 등장하고 있다. 특히, 금주에는 작년에 등장하였던 포털 배너광고를 이용한 파밍 악성코드도 다시 등장하였다.

[표 2. 5월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 유포 빈도만 달라졌을 뿐 지난주와 비슷한 모습이 나타났다. 특히, 목요일부터 시작된 악성링크의 증가는 금요일까지 가장 활발한 활동을 보였으며 주말기간에도 특정 시간 때를 이용하여 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 4주차부터 5월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 114건(47.5%)으로 지난주 보다 감소했으며, 미국이 93건(38.8%), 홍콩이 12건(5.0%), 네덜란드가 4건(1.7%), 이탈리아가 3건(1.3%), 폴란드가 3건(1.3%), 기타가 12건(4.8%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. yes24(yes24.com) 사이트를 통한 악성코드 유포 – 2014년 5월 24일]

 

온라인 대형 서점인 YES24(yes24.com)을 통해 주말기간 악성코드가 유포 된 정황이 당사에 의해 포착되었다. 참고로 YES24 웹사이트는, 지난 주말에도 악성코드를 유포하여 2주 연속으로 악성링크가 삽입되었다는 것을 보았을 때 공격자가 침입하는 통로에 대한 차단이 이루어지지 않은 것으로 판단된다. 특히, YES24는 국내 대표하는 온라인 서점사이트이기 때문에 출판정보 및 개인정보 유출도 심각히 우려되는 상황이며 하루 빨리 조치를 취하지 않으면 피해는 누적 될 수 밖에 없다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

 

  • Yes24, Korea.com , 다수의 상위 노조 , 대규모 사용자가 이용하는 P2P 사이트를 통한 악성코드 감염이 계속 관찰됨

한국 인터넷 위협(요약) - 5월 3주차

 

발행일: 2014년 5월 21일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어서 신규 악성링크의 출현은 감소하고 있는 추세지만 영향력 측면은 지속적으로 증가하고 있는 상황이다. 특히, 금주에는 파일공유(P2P) 사이트를 비롯하여 영향력 있는 사이트에서의 악성코드 유포가 나타났다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지 감소에도 불구하고 파급력 증가 – 효율적인 공격의 흐름
  • 영향력 증가 – P2P 사이트 최소 8곳 등 사용자 방문이 많은 사이트에 대한 공격 (P2P 사이트 최소 8곳 이상 동시 악성코드 유포는 올해 처음 관찰)
  • 금융 – 파밍 관련, 포트번호를 통한 특정 금융 사이트에 대한 공격 분류
  • 금융 – 파밍 공격, hosts(hosts.ics) 파일의 변조를 이용하는 공격 감소

주간 동향(Weekly Trend)

[표 1. 5월 3주차 한국 인터넷 위협지수]

4월 4주부터 시작된 신규 경유지의 하락은 5월 3주까지 이어지고 있다. 하지만, 신규 공격코드에 영향력은 증가와 감소를 반복하고 있으며 최근 3주 사이에는 경유지 대비 높은 파급력을 나타내고 있다. 특히, 금주에는 온라인 서점, 포탈 사이트를 비롯하여 8개 이상의 파일공유(P2P) 사이트를 통해 악성코드가 직접 유포 및 경유지로 활용되는 모습이 확인되었다. 이들은 대부분 동일한 파밍 악성코드를 유포하였으며 확인 결과 hosts(hosts.ics) 파일 변조 없이 파밍사이트로 연결하는 등 새로운 공격 방식이 꾸준히 나오고 있다.

 

[표 2. 5월 3주차 시간대별 통계]

시간대별 통계를 살펴보면 매주 유포범위가 바뀔 만큼 유동적으로 움직인다고 볼 수 있다. 특히, 최근 3주를 살펴보면 어느 특정한 시간대에 출현한다고 예측할 수 없는 만큼 초기 대응을 통해 광범위하게 분포되어 있는 악성링크의 영향을 줄여야 한다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 3주차부터 5월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 122건(48.4%)으로 지난주 보다 증가했으며, 미국이 102건(40.5%), 홍콩이 12건(4.8%), 기타(6%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 코리아닷컴(Korea.com) 사이트를 통한 악성코드 유포 – 2014년 5월 18일]

주말 동안 파일공유(P2P)를 사이트를 중심으로 온라인서점, 포털사이트를 통해 악성코드 유포 활발히 이루어진 가운데 코리아닷컴(Korea.com) 포털 사이트 공용모듈에 비정상링크가 삽입되어 악성링크의 경유지로 연결하고 있는 모습이 발견되었다. 특히, 해당 모듈은 코리아닷컴(Korea.com)뿐만 아니라 연계된 사이트에서도 이 공통모듈이 활용되고 있었으며 해당 악성링크는 5월 18일 하루동안 활동을 하였으며, 다운로드되는 악성코드를 분석한 결과, 최근 이슈인 사용자의 금융정보를 노리는 파밍 악성코드로 확인되었다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한노총을 포함한 노조 웹 서비스들을 이용한 악성코드 유포 – 워터링홀 공격

각 노조에 소속된 조합원들이 있는 기업 및 단체에서는 내부 APT 형태의 악성코드 침입 가능성 높으므로, 대응이 필요합니다.

  • 최근 악성코드 유포는 국내 사용자 방문이 많은 웹 서비스에 악성링크를 삽입하여, 금융정보 탈취형 악성코드 이외에도 백도어들이 몇 주째 지속해서 유포되고 있는 상황이 지속되고 있는 가운데, 노동조합 구성원들이 방문하는 웹 사이트에 악성링크를 삽입하여 악성코드를 유포하는 정황이 탐지되었다.

한노총 : 한국 노동조합 총연맹 – 국내 최대 노동조합 연합. 단위노조 3374개 소속

우정노조: 전국 규모의 최대 단일 노조 – 우체국 종사원 노조 . 8개본부 5개 지부

화학노조: 화학 관련 산업 노동조합의 연합단체 . 2011년 428개 조직, 17개 업종

 

  • 위협경보의 "경고"레벨 상향 이후에도 활동이 활발하게 관찰되고 있다. 위험 수준 하향을 위해 빛스캔에서 수집된 정보를 이용하여 문제를 줄이고자 한다.

     

최근까지도 학원, 파일공유(P2P), 병원, 커뮤니티 등 불특정다수가 많이 방문하는 웹 서비스를 통한 악성코드의 감염이 활발하게 지속되고 있고, 특정 노동조합원들이 많이 방문하는 곳으로 전국 한국노동조합총연맹 서비스에 최근 2~3주 가량 지속해서 악성코드 감염이 발생되는 사안이 관찰되고 있다.

 

노동조합의 대표적인 한국노동조합총연맹 웹 서비스에 악성코드의 유포가 4월 14일경부터 계속되고 있는 상황이며, 5월 2주차에는 전국우정노동조합과 전국화학노동조합의 웹 서비스에서도 악성코드 유포 정황이 탐지되었다. 노동조합에 가입한 인원들과 접속을 하는 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 다양하게 사용될 수 있으며, 중요 기밀들에 대한 노출도 가능할 것으로 판단된다. 우정노조와 화학노조의 경우에는 전국의 우체국과 화학 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있으므로 높은 수준의 주의가 필요하다.

 

최근 유포이력을 살펴보면 한국노동조합총연맹은 4월 14일 ~ 5월 14일 까지 악성코드의 영향을 받았으며, 일부는 대량 감염을 위해 형성된 다단계유포망(MalwareNet)과 결합이 되어 유포되는 현상도 관찰되었다.

 

[그림 1. 한국노동조합총연맹 웹 사이트 - 악성코드 유포 4월14일 ~ 5월15일]

 

[그림 2. 전국우정노동조합 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

 

[그림 3. 전국화학노동조합연맹 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

4.14일 한국노동조합총연맹 웹 사이트에 두 종류의 공격팩이 삽입된 악성링크 사례

경유지: inknara.co.kr/shop/xxxx/./index.html (공격코드 - 공다팩)
경유지1:
199.188.107.xx/xxx.html (공격코드 - 카이홍팩)

 

사용된 취약점 종류

3544-0507-1723-4681-5076-1889-0422-2465-0634 (gondad exploit kit)

3544-2140-4681-0422-1889-4969-3897-0634 (caihong exploit kit)

 

최종다운로드 링크: www.xxxxxxxx.co.kr/shop/haap.exe

최종다운로드 링크: 199.188.107.xxx/kbs.exe

바이너리 기능: 백도어, 파밍

 

5월 15일 현재 ( 13일 출현) – 한국노총, 우정노조, 화학노조 모두 동일 악성코드 감염

 
경유지: gangpan.co.kr/xxxx/index.html

경유지1: http://websmedia.co.kr/xxxxxx/index.html

 

공격유형: 3544-0507-1723-4681-5076-1889-0422-2465-0634 (공다팩)

최종 다운로드 : http://174.139.149.xxxx/zz.exe

바이너리기능: 백도어, 파밍

 

웹 사이트를 통해 접속자를 공격하는 기법은 공다팩(Gondad Pack) 이 사용되었다. 특히, 악성링크가 시간차이를 두고 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나, 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었으며 이들은 모두 파밍 악성코드로 확인되었다. 이들은 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비PC)도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.

 

현재 노동조합 관련 사이트를 크롬으로 방문 시에는 경고창이 활성화 되는 것을 볼 수 있으며, 유포가 발생 되었음을 간접으로 확인 할 수 있다.

 

 

최근 한국 인터넷의 위협레벨을 경고로 상향시킨 이후 관찰을 강화하고 있으며, 관찰 도중 발견된 공격자 서버에서 상당수의 좀비PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바도 있다.

 

특히, 최근에는 MalwareNet에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되는 형태도 계속해서 관찰이 되고 있어서, 시급한 대응이 요구되는 상태이다.

 

노동조합을 대상으로 한 악성코드 유포 시도가 많지는 않았지만, 최근 4월초에 지속적으로 발견이 되고 있다. 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다.

 

현재 빛스캔은 210만개 웹서비스 (국내 180만개, 해외 30만개)에 대해서 대량 악성코드 유포를 모니터링하고 있으며, 그 관찰의 결과를 매주 수요일 정보제공 서비스를 통해서 제공하고 있다. 기사 내용 문의 및 정보제공 서비스 문의 info@bitscan.co.kr

Posted by 바다란

한국 인터넷 위협(요약) - 5월 2주차

 

발행일: 2014년 5월 14일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 비해 공격자의 활동은 줄어들었지만 일부 웹사이트를 통해서는 여전히 악성코드가 활동 중에 있으며 다수의 카운터 서버만을 삽입한 악성링크도 발견되고 있어 예의 주시가 필요한 상황이다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 공세 약화 – 공인인증서 폐기 및 C&C IP 차단 등 적극적 대응으로 인한 효과로 추정
  • 단축 URL을 이용한 악성링크 재출현
  • 금융 – 채팅 창을 활용하는 피싱 공격 재출현
  • 금융 – 줌(ZUM) 포탈을 이용하는 파밍 공격
  • 일부 웹사이트를 통한 악성코드 유포 지속 – 포X스, 로또XXX, 더존XX 등

주간 동향(Weekly Trend)

[표 1. 5월 2주차 한국 인터넷 위협지수]

지난 주에 공인인증서 1만여건을 공격자 서버로부터 확보하고, 해당 내역을 관계기관과 협력하여 최종적으로 6천9백여건의 인증서를 폐기하고, 나아가 악성링크가 활용하는 IP 대역폭과 C&C 서버를 차단하는 등 적극적인 대응을 한 결과 위협이 조금 감소하는 모습이 나타났다. 하지만, 여전히 일부 웹사이트를 통해서는 휴일에도 악성링크가 지속적으로 활동하였고, 다운로드되는 악성 코드는 파밍과 관련된 것으로 분석되었다. 특히, 이번 사건 이후로 공격자가 다양한 국가의 VPN망을 이용하여 차단을 우회하려는 모습도 관찰되었다.

[표 2. 5월 2주차 시간대별 통계]

시간대별 통계를 살펴보면 평일 시간을 이용하여 주로 활동을 하는 모습이 나타났지만 지난주와 비교해보았을 때 악성링크의 활동은 조금 감소하는 모습을 보였으며, 금-토요일에는 거의 활동이 없었지만, 일요일 오전부터 다시 활동이 재개되었다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 2주차부터 5월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 98건(34.3%)으로 지난주와 비슷하였으며, 미국이 129건(45.1%), 홍콩이 18건(6.3%), 독일이 13건(4.5%), 스페인이 5건(1.7%), 이탈리아가 5건(1.7%), 네덜란드가 3건(1.0%), 기타가 15건(4.9%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 포탈사이트 줌(Zum.com)을 이용한 파밍 플로팅배너 광고 – 2014년 5월 13일]

최근 사상 최대 공인인증서 폐기를 통한 이슈로 인해 파밍에 대해 관심이 높아진 상황에서 피해를 최소화 하기 위해 관계기관과의 협력을 통해서 파밍 악성코드에 대해 적극적인 대응을 하고 있지만 악성코드 유포는 계속되고 있는 상황이다. 파밍 악성코드 특징으로는 공인인증서 유출도 있지만 호스트 파일의 변조를 통해 가짜 은행 사이트로 연결하여 금융정보를 탈취하는 방법도 같이 사용된다. 특히, 포탈사이트 같은 경우는 파밍 플로팅배너 광고를 이용하여 가짜 은행사이트로 연결하려는 수법을 쓰고 있으며 기존에는 네이버, 다음, 네이트가 이용되었지만 최근에는 줌(Zum.com)사이트를 통한 파밍 플로팅 배너까지 등장하였다. 특히, 줌(Zum.com)은 최근 많은 사용자가 찾는 만큼 대중적인 사이트로 성장을 지속하고 있는 중이며 접속하는 사용자도 점차 증가하고 있는 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 4월 4주차

 

발행일: 2014년 4월 23일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에는 지난주에 비해 위협이 증가하였고, MalwareNet이 결합된 형태로 대규모 감염이 발생하였고, 레드킷의 영향으로 인해서 '경고' 등급으로 상향 조정한다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 국내 직접적 영향을 노린 악성링크 증가 지속

• RedKit 활동 활발 – OneDrive를 활용

• 금융 - 모바일 OS 감염을 노린 악성앱(.apk) 출현

• 최근 유포이력이 없던 곳에서 활동 재개 – 게임관련, 어학원사이트

• 패션관련 그룹 사이트 – 최소 5개 이상 웹사이트 악성링크 확인

• 다크쉘을 활용하는 악성링크 출현 – 공격 도구 수집 및 분석 中

 

주간 동향(Weekly Trend)

[표 1. 4월 4주차 한국 인터넷 위협지수]

악성링크의 활발한 활동은 지난 주(4월 3주)에 이어 계속되었으며, 신규경유지와 파급력의 수치는 지난주에 비해 더욱 증가하였다. 특히, 일부 발견된 악성링크는 기존에 활용되었던 다단계유포망(MalwareNet)과 결합되어 위협을 주었으며 유포에 활용된 사이트를 살펴보면 어학원을 비롯하여 게임관련 사이트와 쇼핑몰 및 대형유통업체 등이 포함되었다. 유포된 일부 악성링크 중에서는 지난 3월에 등장하였던 모바일 OS을 대상으로 하는 스크립트가 공다팩을 통해 다시 등장하였다.

[표 2. 4월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 모든 시간대에 걸쳐서 악성코드의 활동이 활발이 이루어졌다는 것을 볼 수 있으며 특히, 화요일과 토요일에는 가장 활발한 활동을 보였다. 악성코드의 활동은 매주 달라지고 있으며 범위 또한 점점 확장하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 3주차부터 4월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 160건(26.1%)으로 지난주와 비슷하였으며, 미국이 234건(38.2%), 독일이 74건(12.1%), 영국이 24건(3.9%), 스페인이 22건(3.6%), 이탈리아가 16건(2.6%), 네덜란드가 15건(2.4%), 폴란드가 12건(2.0%), 러시아가 7건(1.1%), 덴마크가 6건(1.0%), 기타가 34건(5.9%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 카네스텐 홈페이지를 통한 레드킷 유포 – 4월 19일]

레드킷은 그 동안 해외에서의 주로 해외에서의 활동을 보였으며 국내로의 유입은 일부 있었지만 대부분 영향력이 없거나 정상적인 동작이 이루어지지 않은 준비과정에서 나타났다. 금주에는 카네스텐 사이트를 통해 올해 초 Skydrive로 연결하는 레드킷이 다시 등장을 하였으며 이번에는 Onedrive를 이용하였다. 공격에 활용되는 악성파일을 분석한 결과 애드웨어 목적의 악성코드를 추가적으로 다운로드 하는 모습이 나타났지만 동작을 하지 않았다.

 

카네스텐

  • http://www.avemariaprojects.xxx/xxxxxxxxxxxxxxx/xxxxxxxx.php
  • https://onedrive.live.com/download.aspx?cid=xxxxxxxxxxxxxxxx&resid=xxxxxxxxxxxxxxxxxxxxxxxx

[표 4. 카네스텐에서 공격에 활용된 악성 링크 및 관련 정보 – 4월 19일 20시경]

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 5월 1주차

 

발행일: 2014년 5월 07일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어 신규 악성코드의 파급력은 지속적으로 상승하고 있으며 공격 방식도 다변화되고 있어 금주에도 '경고' 등급으로 계속 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지, 파급력 증가 – 특정 IP 대역을 이용한 악성링크 활동
  • 파밍 공격과 함께 모바일 OS를 노리는 공격 증가
  • 금융 – 가짜 모바일 웹 페이지를 이용하는 악성 링크 출현
  • 금융 – 파밍 공격에서 이용되는 C&C 서버에 대한 공인인증서 1만여건(국내기관제공 및 언론기사화)
  • XX제약 – 인트라넷 사이트

주간 동향(Weekly Trend)

[표 1. 5월 1주차 한국 인터넷 위협지수]

5월 1주차 현재 신규 공격코드가 삽입된 악성링크의 활동은 줄어들고 있지만 파급력은 여전히 증가하고 있다. 지속적으로 파급력이 증가하는 이유는 지난주와 마찬가지로 악성링크가 영향력 있는 사이트에서의 유포가 이루지고 있기 때문이다. 금주 대부분 카이홍 공격킷을 사용한 공격이 증가한 가운데 그 동안 등장하지 않았던 IP 대역폭을 이용한 공격이 다시 등장하여 위협을 주었으며, 지속적으로 IP를 변경하여 차단 장비의 탐지를 회피하는 모습도 발견되었다. 최종 바이너리는 대부분 파밍 악성코드로 확인되었으며 이 과정에서 감염된 사용자의 실제 금융정보가 공격자 서버에 대규모 저장되어 있는 것을 확인하였다. 본 내용은 대응 이후에 추가 기사로 작성될 예정이다.

[표 2. 5월 1주차 시간대별 통계]

시간대별 통계를 살펴보면 악성링크의 활동 주기가 점점 짧아졌음을 알 수 있으며 유포되는 시간 역시 주말과 평일을 구분하지 않고 골고루 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 1주차부터 5월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 109건(28.7%)으로 지난주와 비슷하였으며, 미국이 173건(45.5%), 독일이 27건(7.1%), 스페인이 16건(4.2%), 홍콩이 12건(3.2%), 이탈리아가 7건(1.8%), 네덜란드가 5건(1.3%), 폴란드가 5건(1.3%), 아르헨티나 4건(1.1%), 기타가 22건(5.8%) 등으로 나타났다. 스팸메일 발송 용도의 레드킷 유형도 국내.외를 걸쳐 대규모로 발생 하였으나, 위협의 정확한 전달을 위해 통계 수치에서는 배제하였다.

주간 이슈(Weekly Issue)

[그림 1. 플라워365를 이용한 악성링크의 활동 – 2014년 4월 ~ 현재까지]

지난 4월 20일 꽃배달 전문 사이트인 플라워365가 악성코드를 감염시킬 수 있는 통로로 활용되었던 정황이 최초 탐지된 이 후 현재까지도 사이트 내부의 문제점이 수정되지 않은 상태이며, 더욱 우려되는 사항은 플라워365를 통한 직접적인 공격코드 유포 이외에도 또 다른 악성링크로 연결하는 경유지로 이용당하였다는 점이다. 게다가, 특정 시간대에는 다단계 유포망인 MalwareNet과도 결합되는 모습도 나타나는 형태를 보이고 있어 심각성이 매우 높다. 특히, 금주 차에는 일부 파일공유(P2P) 사이트를 중심으로 집중적인 유포 활동을 보였지만, 대응이 부족하였으며, 이로 인해 주말 동안의 파일 공유 사이트에 접속한 인터넷 이용자들은 악성코드에 감염될 가능성이 높았을 것으로 추정된다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

 

금일 4.16일은 4월 3주차 정보제공 서비스가 발행 되는 날입니다. 블로그에 공개는 비정기적으로 진행되니 참고 하십시요.

주간 동향 요약의 신청은 info@bitscan.co.kr 로 하실 수 있으며, 무료입니다. 또한 정보제공서비스와 결합된 비트얼럿 서비스에 대해서도 관심을 부탁 드립니다.

 

한국 인터넷 위협(요약) - 4월 2주차

 

발행일: 2014년 4월 9일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 금 주에는 일시적으로 위협이 소강 상태를 유지하고 있는 것으로 판단되어 지난 주와 동일하게 '주의' 등급을 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 전체 발견된 유포지 증가 – 레드킷의 특정 시간 집중적인 유포(3주째 지속)

• 신규 경유지, 파급력 감소 – 지난주보다 더 낮은 수치

• 신규 악성코드 유포지 출현 – 모두투어(쇼핑몰), 점포라인

 

주간 동향(Weekly Trend)

[표 1. 4월 2주차 한국 인터넷 위협지수]

4월 2주 전체 발견된 악성코드는 레드킷의 특정 시간 집중적인 유포에 따라 수치가 급증하는 모습을 보였으며, 대부분 해외도메인을 통해 출현하였다. 특히, 일부 레드킷 중에서는 이전 형태와 다른 형태의 악성 자바스크립트가 발견되어 주의가 필요한 상황이다. 반면, 국내에 직접적인 영향을 주는 공다팩과 카이홍과 같은 공격 이슈는 거의 발생하지 않는 모습을 보였다. 하지만, 그동안 악성코드가 주기적인 위협을 가한 상태였으며, 금주에 수치가 낮아졌다 하더라도 안심하기는 이르다고 볼 수 있다. 특히, 현재도 악성링크의 공격코드는 빠져있는 상태에서 카운터 코드만 삽입된 사이트가 많이 존재하고 있는 상황이다. 금주 위협은 일시적으로 줄어들었으나 통로가 확보되어 있는 상태가 지속되고 레드킷 또한 변형의 움직임이 나타날 수 있어 한국 인터넷 위협 수준을 "주의" 단계로 유지한다.

[표 2. 4월 2주차 시간대별 통계]

4월 2주 시간대별 통계를 살펴보면 지난주와 달리 특별한 유포현상은 나타나지 않았다. 그 동안 주말을 이용하여 집중된 악성링크의 공격은 금주 소강상태를 보였다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 1주차부터 4월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 152건(15.8%)으로 지난주와 비해 감소하였으며, 미국이 419건(43.6%), 독일이 161건(16.8%), 스페인이 36건(3.8%), 영국이 27건(2.8%), 러시아가 21건(2.2%), 이탈리아가 21건(2.2%), 폴란드가 15건(1.6%), 덴마크가 14건(1.5%), 네덜란드가 14건(1.5%), 일본이 14건(1.5%), 아르헨티나가 13건(1.4%), 기타가 53건(5.3%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 점포라인을 통한 악성코드 유포 – 4/2]

4월 1주 국내를 통한 악성코드의 공격은 한층 감소한 모습을 보인 가운데 일부 유포된 악성코드는 영향력 있는 몇몇 사이트를 통해 유포되었다. 특히, 월요일 이후 토요일에 소규모로 등장한 악성코드 가운데서는 모두투어에 관련된 쇼핑몰도 포함되어 있었으며 또한, 점포거래소인 점포라인을 통해서도 같은 악성코드가 유포되었다. 특히, 점포라인과 같이 거래가 활발히 이루어지는 상황을 보았을 때 악성코드 유포와 동시에 내부 DB까지 유출될 우려가 있는 상황이다. 최근 공격자는 학원부터 언론, 부동산, 여행사 등 취약한 사이트라면 어느 곳이든 노려 악성코드를 유포하는 상황이 지속되고 있는 만큼 각별한 대비가 필요한 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 4월 1주차

 

발행일: 2014년 4월 2일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '주의'로 지난 주 "경고"보다 한 단계 하향조정 하였으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 감소 – 악성코드의 제한적인 범위 활동

• 악성코드 유포지로 지속적인 이용 – 베가디스크

• 신규 악성코드 유포지 출현 – 박문각, 고도몰 등등

• 악성코드의 특정 시간 때의 활동 – 3주 연속 주말의 집중적인 유포

주간 동향(Weekly Trend)

[표 1. 4월 1주차 한국 인터넷 위협지수]

4월 1주 전체 발견된 유포지는 지난주에 비해 증가하였지만, 신규 경유지 및 파급력은 감소하는 모습이 나타났다. 감소한 이유로는 레드킷의 활동이 특정한 시간대에 몰림과 동시에 직접적인 영향을 주는 악성코드 유포 줄어들었기 때문이다. 금주 역시 파일공유(P2P) 사이트를 통한 악성코드 유포는 지속되었으며 새롭게 특정 쇼핑몰과 학원사이트를 중심으로 악성코드가 유포되는 현상이 발생하였다. 하지만, 지난주에 등장하였던 모바일 악성코드를 동시에 유포하는 형태는 등장하지 않았지만, 새로운 취약점이나 공격 기법을 탑재하여 다시 등장 할 우려가 있는 만큼 지속적인 관찰이 필요하다. 참고로, 한국 인터넷 위협지수를 "경고" 단계로 한 단계 하향 조정하였지만, 악성코드 유포의 움직임이 언제든 다시 활발해질 수 있어 예의주시하고 있는 상황이다.

[표 2. 4월 1주차 시간대별 통계]

3월 3주부터 시간별 통계를 확인해보면 주말을 이용한 악성코드 유포의 움직임이 지속되고 있는 상황이다. 4월 1주, 역시 금요일 오후 ∽ 토요일 오전까지 가장 많은 유포 빈도수를 보였으며 지속적으로 취약한 시간 때인 주말을 이용하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 4주차부터 4월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 194건(17.3%)으로 지난주와 감소 하였으며, 미국이 472건(42.1%), 독일이 171건(15.3%), 스페인이 46건(4.1%), 이탈리아가 33건(2.9%), 영국이 31건(2.8%), 러시아가 23건(2.1%), 브라질이 21건(1.9%), 네덜란드가 18건(1.6%), 폴란드가 16건(1.4%), 일본이 15건(1.3%), 덴마크가 14건(1.3%), 아르헨티나가 13건(1.2%), 기타 53건(4.8%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 박문각 학원을 통한 악성코드 유포 – 3/30]

 

최근 공격자는 언론/방송사와 같은 많은 사람들이 접속하는 사이트에 악성코드를 유포하는 모습이 자주 관찰되고 있는 가운데 학원사이트도 빼놓을 수 없는 유포지 중 하나이다. 대표적으로 최근에는 해커스와 이익훈어학원이 악성코드를 유포한데 이어 금주에는 박문각 학원사이트를 중심으로 악성코드가 유포되는 정황이 포착되었다. 악성코드 유포에 이용된 사이트는 박문각 중개사학원을 비롯하여 출판, 임용고시, 스파에듀까지 서비스를 하는 모든 페이지에서 유포되었다. 곧 상반기 공채시즌이 돌아오면 학원 수강생들이 더욱 몰릴 것으로 보이는 만큼 대비가 필요한 상황이다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

한국 인터넷 위협(요약) - 3월 4주차

 

발행일: 2014년 3월 26일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 동일 – 레드킷의 활발한 움직임이 있지만, 영향력은 미미함

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 더존비즈아카데미, DVD 프라임 등등

• 안드로이드 감염 및 공격자 서버로 정보 전송 확인 – 추가 분석 중

• 신규 악성코드 유포지 출현 – 락앤락, 컨슈머뉴스 등등

• 광고 배너를 통한 악성코드 대량 유포 – 올블렛, 메크로스

주간 동향(Weekly Trend)

[표 1. 3월 4주차 한국 인터넷 위협지수]

3월 4주 전체 발견된 유포지는 지난주에 비해 약간 상승하였으며 신규 경유지는 다시 활발해진 레드킷의 활동과 공다팩과 카이홍의 유포가 활발한 결과 대폭 증가하는 모습을 보였다. 신규 공격코드의 파급력은 지난주와 동일하였으며, 레드킷의 활동은 활발했지만, 국내에 직접적인 영향을 주지는 못하였다. 또한, 지난 주에 사전 징후를 보인 안드로이드 OS를 타겟으로 하는 모바일 악성코드는 금주에 직접적인 감염이 이루어지는 것을 확인하였으며 사용자 정보가 공격자 서버로 넘어가는 정황도 포착하였다. 또한, 광고 호스팅 업체 배너광고 영역을 통해서도 악성코드 유포가 있었던 결과, 블로그 등 전체 범위를 파악할 수 없을 정도로 유포가 되어 더욱 심각한 상황이 지속되었다.

[표 2. 3월 4주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 금요일을 기점으로 일요일까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 3주차부터 3월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 207건(18.2%)으로 지난주와 소폭 감소하였으며, 미국이 457건(40.2%), 독일이 178건(15.7%), 이탈리아가 42건(3.7%), 스페인이 34건(3.0%), 영국이 30건(2.6%), 네덜란드가 22건(1.9%), 러시아가 21건(1.8%), 브라질이 19건(1.7%), 덴마크가 18건(1.7%), 폴란드가 17건(1.5%), 일본이 16건(1.4%), 아르헨티나가 13건(1.1%), 기타가 62건(5.6%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 안드로이드 악성코드에 감염된 사용자의 문자 메시지가 공격자의 서버로 전송된 내역 – 3/22]

 

지난주에 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드의 최초 등장을 언급한 적이 있다. 당시에는 단시간 공격코드가 삽입된 정황으로 보았을 때 사전 테스트 징후라고 판단하였으며 얼마 지나지 않아 다시 활동할 것으로 예상한 바 있다. 그로부터 얼마 지나지 않아 공다팩을 통해 삽입된 안드로이드 악성코드는 주말을 통해 다시 활동을 하기 시작하였으며 처음 등장과 달리 모바일 사이트에서도 동시에 유포하였다. 모바일 페이지를 통해 유포된 안드로이드 파일 분석 결과 사용자의 정보를 공격자 서버로 전송하는 동작이 발견되었으며 실제적으로 접속하여 확인한 결과 문자메세지, 금융계좌 등이 공격자로 추정되는 관리자의 웹서버로 수집되고 있었다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스( 택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란
TAG 빛스캔

한국 인터넷 위협(요약) - 3월 3주차

 

발행일: 2014년 3월 19일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 초대형 MalwareNet 움직임

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 케이웨더, 아시아뉴스통신 등등

• 특정 모바일 OS를 감염시키기 위한 징후 포착 – 공다팩을 통해 일부 출현

• 언론 매체, 방송사에서 악성코드 유포 활용 – MBN, 디시뉴스, 데일리메디, 교육연합신문 등

• 이벤트 대행사를 통한 대규모 유포 활용 – 메크로스

• 파밍 – 수협을 위장한 파밍 사이트 활성화

주간 동향(Weekly Trend)

[표 1. 3월 3주차 한국 인터넷 위협지수]

2월 3주부터 한국 인터넷 위협은 여전히 지속되고 있으며 시간이 지날수록 위협수위는 높아지고 있다. 3월 3주 전체 발견된 유포지는 지난주에 비해 하락한 모습을 보였지만 신규 경유지와 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인은 약 300여개의 웹사이트를 보유한 다단계유통망(MalwareNet)의 영향으로 분석되었다. 지난주와 마찬가지로 언론/방송사를 통한 악성코드 유포는 계속되었으며 의료포탈사이트와 함께 국내 중견 기업인 더존XX의 정식교육센터를 통해 악성코드가 유포되어 위협을 더욱 증가시켰다. 이들 악성코드 유포지에서 발견된 자동화 도구는 공다팩과 카이홍 공격킷이 주로 이용되었으며 일부 공다팩에서는 모바일과 PC가 모두 감염시킬 수 정황이 포착되어 각별한 주의가 필요한 상황이다.

[표 2. 3월 3주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 토요일 오전부터 오후까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 2주차부터 3월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 183건(17.7%)으로 지난주와 소폭 감소하였으며, 미국이 423건(40.9%), 독일이 159건(15.4%), 이탈리아가 47건(4.5%), 스페인이 30건(2.9%), 네덜란드가 22건(2.1%), 러시아가 20건(1.9%), 브라질이 19건(1.8%), 덴마크가 18건(1.7%), 일본이 15건(1.5%), 폴란드가 15건(1.5%), 영국이 14건(1.4%), 아르헨티나가 11건(1.1%), 터키가 10건(1.0%), 기타 44건(4.4%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드 – 3월 13일]

 

앞에서 언급한 바와 같이, 최근 발견된 공다팩의 내부 코드에서 모바일 악성코드를 감염시키기 위한 정황이 포착되었다. 현재까지 모바일을 통한 악성코드 유포는 스미싱, 메신저 등으로 한정이 되어 있었다. 하지만, 3월 13일에 공다팩을 통해 출현한 모바일 악성코드는 웹사이트만 방문을 해도 악성코드가 설치되는 현상이 나타나는 모습을 보였다. 특히, 공격자는 모든 모바일 운영체계를 목표로 한 것이 아닌 안드로이드 OS 버전을 통해서만 악성코드가 다운로드 할 수 있게 하는 치밀함과 함께 다운로드 횟수를 확인하기 위한 카운터 사이트를 따로 운영하는 모습도 관찰되었다. 더욱 우려되는 점은 모바일 운영체제에서는 브라우저에서 악성링크가 삽입된 사이트를 차단하는 기능이 아직 없기 때문에 빠른 시일 내에 대처 방안을 강구하지 않는다면 피해는 계속 늘어날 수 밖에 없다는 점이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

보안정보제공서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료 구독

  • 한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 (수시, 선별된 정보 제공)

 

정기 가입 기업/기관

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 가입 및 문의는 "소속 확인이 가능한 이메일(회사)"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

한국 인터넷 위협 요약 - 3월 2주차

 

발행일: 2014년 3월 12일

한국인터넷 위협레벨: 경고

 

본 인터넷 위협은 빛스캔㈜에서 운영하는 PCDS (Pre Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 유포지, 파급력 감소 – 악성코드 통로는 여전히 존재

• 악성코드 유포지로 지속적인 이용 – 여의도 순복음교회, 케이웨더 등

• P2P사이트를 통한 집중적인 악성코드 유포 – 신규 2곳

• 방송, 언론사 등 통한 악성코드 유포 – 작년 유사 상황과 비교 분석(경인방송국, 아시아뉴스통신, 빅뉴스 등등)

• 파밍 – 레지스트리 조작, 채팅 창을 활용한 사기 활성화

 

 

주간 동향(Weekly Trend)

[표 1. 3월 2주차 한국 인터넷 위협지수]

3월 2주차 전체 발견된 유포지는 증가하였지만 신규 경유지의 감소로 인하여 파급력 역시 감소를 하는 모습을 보였다. 하지만, 영향력의 감소에도 불구하고, 언론매체, 쇼핑몰, P2P 등에서는 악성코드의 유포가 지속되는 현상을 보였다. 특히, 금주에는 지난 3개월 동안 악성코드 유포 이력이 없었던 언론/방송사를 통해 악성코드 유포가 이루어지는 현상이 관찰되었으며, 지속적으로 보안점검을 받는 종교단체 역시 현재까지 문제점을 발견하지 못해 4주 연속으로 악성코드를 유포하는 모습을 보였다. 추가적으로 바이너리 확인결과 대부분이 파밍 악성코드로 확인이 되었으며, 바이러스토탈(VirusToal)에서 조회결과 국내백신에서 탐지하지 못하는 것을 확인하였다. 금주 신규 경유지와 영향력은 감소하였지만 언론/방송사를 통한 악성코드 유포와 함께 지속적인 사이트 재감염 사례 등 위협요소가 남아있어 인터넷 위협수준을 "경고" 단계로 유지한다.

[표 2. 3월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면 지난주 주말기간 활발히 활동했던 모습에 비해 금주에는 평일에 활동을 하였으며 활동도 소규모로 이루어지는 모습이 관찰되었다. 하지만, 기존 악성코드 유포지로 활용되었던 사이트의 통로는 현재도 존재하고 있기 때문에 위협이 낮아졌다고 판단하기는 이른 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 1주차부터 3월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 156건(16.9%)으로 지난주와 소폭 증가하였으며, 미국이 380건(40.6%), 독일이 150건(16.0%), 이탈리아가 51건(5.5%), 스페인이 43건(2.8%), 브라질이 20건(2.1%), 일본이 19건(2.0%), 러시아가 17건(1.8%), 네덜란드가 16건(1.7%), 덴마크가 13건(1.4%), 영국이 12건(1.3%), 폴란드가 10건(1.1%), 기타가 61건(6.1%) 등으로 나타났다.

 

 

주간 이슈(Weekly Issue)

[그림 1. 파밍 정보 입력 후 나타나는 채팅창 – 3월 5일]

 

최근 국내 영향력 있는 웹사이트를 통해 악성코드가 유포되는 상황이 지속적으로 관찰되고 있으며 이를 통해 다운로드 된 악성코드는 대부분 파밍 악성코드로 확인되고 있다. 파밍 악성코드는 지난해부터 등장하기 시작했으며 매주 새롭게 바뀌는 모습이 나오고 있다. 지난주 카드사를 사칭한 파밍사이트의 등장과 일부 보안업체를 이용하려는 정황에 이어서 금주에는 파밍 사이트에서 모든 정보를 입력 후에 새롭게 채팅창이 나타나는 모습이 발견되었다. 특히, 채팅창은 우리은행에서만 나타난 것이 아닌 새마을금고를 통해서도 나타났으며 향후에는 모든 파밍 은행 사이트에서 이 와 같은 공격이 나타날 것으로 예상된다.

 

 

정보제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료

       한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)

  • 긴급 정보 제공 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

    2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 ( 수시, 선별된 정보 제공) 

 

정기 신청기업(유료)

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 신청 및 관련 사항 문의는 "회사 이메일"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

 

  • 본 게시물은 2012년 12월 24일에 작성된 빛스캔의 기사 제공 내용입니다. 2011년 유출된 정보를 통해 이전의 회원들에게만 공지를 하는 상황에서 공지 범위를 2012년 12월 22일 이전의 모든 가입자들에게 공지를 할 필요성이 있지 않을까요? 당시 여러 매체에 내용을 제공 하였으나 기사화 된 곳은 없었네요. 아마 받으신 기자분들은 기억 하실 것입니다. 

  • 유출된 정보를 통해 확인되는 것이 가장 확실하나, 악성코드 감염에 직접 이용된 정황 만으로도 내부 정보의 유출 가능성은 충분히 높은 것이죠. 권한이 있는데 들고 가는 것은 그냥 선택사항일 뿐!!! 이외에도 지금까지 악성코드 유포 및 감염에 이용된 수없이 많은 서비스들도 모두 정보 유출은 기본적으로 이루어졌을 것으로 판단 합니다. 공격자의 마지막 활용이 좀비 PC 감염을 위한 매개체로 사용하는 것이니 말입니다. 정체가 노출 되는 것을 감내할 정도로 용도폐기 단계란 것이죠.


 

티켓몬스터 해킹 당해… 악성코드 대규모 유포!

방문자중 60%는 악성코드에 감염

 

티켓몬스터는 국내 소셜커머스 업계의 양대산맥중의 하나입니다. 정상가의 절반 밖에 되지 않는 파격적인 가격에 수량은 한정되어 있다 보니 대규모 방문자가 일상적으로 방문을 하는 곳입니다. 대규모 방문자가 상시 방문하는 티켓몬스터에서 악성코드를 유포한 정황이 포착 되었습니다.

 

티켓몬스터는 지난 7월 1주차에도 악성코드를 유포한 정황이 포착된 바가 있으며, 이번 12월 3주차(12.22)에도 악성코드를 유포한 정황이 다시 포착되었습니다. 웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다. 권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는 안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 탈취할 수 있는 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 모든 방문자에게 자동으로 실행 하여 감염 되도록 합니다.

 

<7월 1주차 티켓몬스터 악성코드 유포 정황 포착>

 

<12월 22일 오후 9시경 티켓몬스터 악성코드 유포 정황 포착>

 

2012년 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 티켓몬스터의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 해 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황이 계속되고 있습니다.

 

<12월 22일 티켓몬스터 정상 소스 안에 삽입된 악성링크 한 줄>

처음 사용자가 접속 시에 실행되는 소스코드에서 발견된 악성링크 추가 부분 입니다. 방문자에게 실행 되는 상태에서 브라우저에 있는 소스보기를 통해 확인된 내용입니다. 본 링크의 경우 티켓몬스터에 접속 하기만 하여도 자동으로 실행되는 부분입니다. 즉 사용자의 클릭 없이 단지 방문만 하여도 악성링크는 자동으로 실행 되며 사용자 PC를 좀비PC로 만들고 있습니다. 공격자가 언제든 조종할 수 있는 좀비 PC가 된 방문자 PC는 두 가지로 악용될 수 있습니다. 좀비PC에서 입력되는 모든 개인정보를 탈취하는 것과 대량의 좀비 PC를 이용한 DDoS 공격등에 이용 될 수 있습니다.

 

< 티켓몬스터 웹소스에 추가된 악성링크의 구조>

이용된 취약성은 Java 취약성인 5종류와 MS XML 취약성이 이용되었으며 사용자의 브라우저 버전과 취약한 Application 버전에 따라 실행하는 지능적인 구조로 구성 되어 있다. 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 46종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된적 없는 악성코드가 사용자 PC에 설치 되고 있었다. 결론적으로 백신에서 악성파일이라고 탐지 할 수 있는 가능성이 매우 낮음을 의미한다.

< 최종 악성파일의 Virusl Total 탐지 내역 – 미 보고된 악성파일>

 

티켓몬스터에서 유포된 악성코드는 추가 파일을 다운로드하는 다운로더 역할을 하는 것으로 1차 판단이 되고 있습니다. 다운로더는 새로운 악성코드들을 계속해서 설치하고 언제든 목적에 맞는 악성코드 및 명령을 내릴 수 있는 상태가 됨을 의미합니다. 현재 티켓몬스터내의 악성링크는 제거된 상황이지만 근본 원인을 찾아서 제거하지 않는다면 언제든지 재발 할 수 있는 상황이므로 근본적인 노력과 대처가 필요합니다.

 

쇼핑이 일상화 되어 있고 더군다나 소셜 쇼핑의 활용률은 접속자도 많으며 이용률도 높은 상태라 공격자들의 좋은 대상이 되고 있습니다. 모든 방문자를 대상으로 한 현재의 공격을 막기 위해서는 서비스 담당자의 지속적인 노력과 보안적인 기술 수준을 항상 높은 상태로 유지 하여야만 할 것입니다. 또한 방문자 관점에서는 현재 공격이 보안패치가 잘 이루어지지 않는 Java 취약성으로 집중이 되고 있으므로 java 취약성에 대한 보안 취약성 업데이트를 반드시 하여 피해를 최소화 하여야 할 것입니다.

 

방문자가 많은 거대 사이트들 조차도 악성코드 감염을 위한 숙주로 이용되는 지금의 현실에서 안전한 사이트라는 것은 많지 않으며, 사용자의 꾸준한 관심과 서비스 운영 기업의 보안강화 노력만이 피해를 줄일 수 있을 것입니다.

 

빛스캔은 현재 국내 주요 120만개 웹 서비스와 해외 10만여 개의 웹서비스에 대해 악성코드 대량 유포 모니터링을 하고 있으며 지난 대선 기간에도 총 60여종의 악성코드와 40여개의 의심 IP에 대해 국내 주요 기업/기관에 정보 제공을 함으로써 문제의 사전 발생을 줄이도록 기여한 바 있습니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 3월 1주차 한국인터넷 위협지수]

2월 3주부터 악성링크의 비정상적인 활동에 따른 위협은 3월 1주차에도 이어지고 있으며 지난주에 비해 위협은 더욱 커진 상황이다. 금주 레드킷의 활동이 다시 활발히 이루어진 가운데 파일공유, 언론사, 종교 단체, 커뮤니티, 광고 대행사 등 많은 곳에서도 악성코드를 유포하는 모습이 나타났으며 일부 사이트는 지난주 보안진단을 받았음에도 불과하고 주말에 다시 악성코드 유포지로 활용되고 있는 모습도 확인되었다. 특히, 이들 사이트에서 유포된 악성코드는 대부분 파밍 악성코드로 확인이 되었으며 이 과정에서 카드사 및 백신업체를 사칭한 파밍사이트가 등장한 모습이 관찰되기도 하였다. 또한, 자동화 공격도구 카이홍 공격킷이 기존의 6개의 취약점에서 8개를 이용하는 변형된 모습도 관찰되었다. 금주 다시 시작된 레드킷의 활동과 계속 증가하는 악성코드 유포지의 영향 그리고 매주 바뀌는 파밍 악성코드의 위협으로 인해 인해 인터넷 위협 수준을 "경고" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 월요일부터 나타나기 시작한 악성링크의 활동은 점차 증가하는 모습을 보였으며 일요일에 가장 활발한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 4주차부터 3월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 206건(13.3%)으로 지난주와 소폭 증가하였으며, 미국이 514건(33.2%), 프랑스가 266건(17.2%), 독일이 225건(14.6%), 이탈리아가 63건(4.1%), 스페인이 43건(2.8%), 러시아가 30건(2.0%), 일본이 26건(1.7%), 네덜란드가 23건(1.5%), 덴마크가 20건(1.3%), 브라질이 18건(1.2%), 폴란드가 15건(1.0%), 기타 106건(5.2%)등으로 나타났다.

  • 3월 1주차 대표적 유포 이슈

[그림 1. 홈페이지 악성코드 관련 게시글 – 여의도 순복음교회]

악성링크의 활동이 증가하고 있는 가운데 여의도 순복음 교회는 2주 연속 악성코드를 유포하는 모습을 보였다. 특히, 지난주 악성코드가 유포된 후 홈페이지 2월 27일 홈페이지 공지글을 통해 악성코드의 유포가 있었다는 점을 시인하고 대응에 최선을 다하고 있다는 글을 게시하였다. 하지만, 지난 3월 1일부터 3월 2일까지 이틀간 총 4차례 악성링크가 유포되는 모습이 다시 포착되었다. 특히, 4차례 공용모듈 위치에 악성링크가 삽입되었으며 이들은 모두 여의도 순복음교회 모든 페이지에서 사용되는 공용모듈로 확인되었다. 당사에서는 현재까지도 악성코드 감염에 이용되고 있는 주요 이슈에 대해서는 계속 환기시킬 예정이다

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

보안정보 제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 4주차 한국인터넷 위협지수]

2월 3주부터 시작된 신규 악성링크의 비정상적인 움직임은 2월 4주까지 이어지는 모습을 보였다. 특히, 쇼핑몰, 보안관련 매체, 복지포탈, 파일공유(P2P) 등 영향력 있는 사이트를 통해 유포가 나타나면서 파급력이 크게 증가하는 모습을 보였으며 악성코드 분석결과 대부분 파밍 종류의 악성코드로 확인 되었다. 특히, 파밍 악성코드 내부 파밍 리스트에서는 지난주 오픈마켓 지마켓이 추가에 이어 금주에는 증권사(키움증권, 삼성증권, 대신증권, 동부증권, 미레에셋 증권)까지 확대하려는 사전 징후가 포착되었으며 악성코드 유포 당시 국내 백신만을 우회 하고 있는 전형적인 모습도 확인되었다. 또한, 시간이 지난 현재에도 대응되지 않은 부분도 일부 존재하고 있어서 2차적인 추가 피해가 우려되는 상황이다. 금주 증가된 위협과 영향력 있는 사이트를 통한 악성코드 유포와 함께 기존의 악성링크 재활용과 함께 신규 악성링크를 통한 비정상적인 움직임이 포착되어 인터넷 위협 수준을 2월 23일부로 "경고" 단계로 상향 조정한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 지난주와 달리 목요일∼일요일까지 가장 활발한 활동을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 3주차부터 2월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 180건(16.1%)으로 지난주와 소폭 증가하였으며, 프랑스가 299건(26.7%), 미국이 241건(21.5%), 독일이 160건(14.3%), 이탈리아가 72건(6.4%), 스페인이 32건(2.9%), 네덜란드가 26건(2.3%), 폴란드가 23건(2.1%), 영국이 14건(1.3%), 덴마크가 12건(1.1%), 기타가 61건(5.5%)등으로 나타났다.

  • 2월 4주차 대표적 유포 이슈

[그림 1. 옐로우캡 사이트에 삽입된 악성 링크 – 2월 18일 확인]

택배 전문업체인 옐로캡택배를 통해 악성링크가 삽입되어 유포되고 있는 정황이 2월 23일 확인되었다. 옐로우캡택배는 오픈마켓 등 다양한 쇼핑몰과 제휴 협력을 맺은 상태이다. 특히, 악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있으며 보안 패치가 되어 있지 않은 취약한 사용자는 악성코드의 감염될 수 밖에 없다. 악성링크 분석결과 Java 7종, IE 1종, Adobe Flash 1종의 취약점을 이용하는 공다팩(Gondad Exploit Kit)으로 확인 되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 3주차 한국인터넷 위협지수]

2월 3주차에 전체 발견된 유포지는 지난주에 비해 조금 증가하였지만, 신규 경유지의 활동이 약 3배정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다. 상승 요인으로는 파일공유(P2P), 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보이며 일부 사이트는 3주 연속 악성코드 통로로 이용되기도 하였으며 파일공유(P2P) 사이트에서는 공백(Space, Tab)와 배열함수를 이용하여 AV 제품의 웹 페이지 탐지를 방해하기 위한 활동도 포착되었다. 또한, 발견된 악성코드는 대부분 파밍 악성코드로 분석 되었으며 일부는 추가 다운로드를 통해 스케쥴러를 생성하여 C&C와 지속적인 명령을 받는 모습도 관찰되었다. 특히, 지난 주에 출현한 지마켓을 노린 파밍용 악성코드는 금주에 이르러서 웹사이트에 연결되는 상황까지 발전하였다. 금주 신규 경유지의 지속적인 증가 및 탐지 회피를 위한 악성링크의 변화와 지속적인 파일공유(P2P) 유포 등 전반적인 위협이 증가함에 따라 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 신규 경유지가 증가함에 따라 전반적인 수치가 지난주에 비해 상승한 모습이 나타났으며 특히, 평일에 시작된 악성코드의 유포가 주말까지 이어지는 모습이 나타났다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷하였으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.

 

  • 2월 3주차 대표적 유포 이슈

[그림 1. 오픈마켓 지마켓(Gmarket.com) 및 금융결제원을 이용한 플로팅 배너 광고]

지난주 오픈마켓인 지마켓(Gmarket.com)을 이용하려는 사전 징후가 악성코드를 통해 포착되었다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓(Gmarket.com) 사이트가 플로팅 배너 광고로 이용되고 있는 모습을 확인하였다. 지마켓을 시작으로 다른 오픈 마켓까지 확대될 지는 조금 더 지켜봐야겠지만 한가지 분명한 점은 이제는 포탈 사이트만이 타겟이 아니라는 점은 확실하다. 더불어, 금주 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융결제원을 사칭하여 파밍 사이트로 연결하는 모습도 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 2주차 한국인터넷 위협지수]

2월 2주차 전체 발견된 유포지는 지난 주와 비슷한 수준을 보였으며 신규 경유지는 하락한 모습을 보였지만 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인으로는 3개의 파일공유(P2P) 사이트를 통해 집중적인 유포와 함께 교육기관, 커뮤니티, 종교 관련 언론사 사이트에서 영향을 준 것으로 분석되었다. 특히, 파일공유(P2P) 사이트를 통해 유포된 악성코드는 대부분 파밍 악성코드로 확인되었으며 hosts(hosts.ics) 파일 변조를 통해 가짜 은행 사이트로 연결하고 있었으며 파밍 알림 서비스를 우회하려는 시도와 신규로 지마켓(Gmarket) 사이트를 이용하려는 사전 모습도 관찰되었다. 금주는 전체적으로는 지난주와 비슷한 위협 동향을 보이고 있지만, 파일공유(P2P)를 통한 집중적인 유포 등 수치에 비해 높은 영향력으로 인해 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴보면 금주에는 대부분 시간대에서 유포되었으며 특히, 월요일과 금요일에 활동이 활발하게 나타났다. 명절 연휴가 끝나고 다시 악성링크가 활동하려는 모습이 관찰되고 있는 만큼 대비가 필요하다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

1월 1주차부터 2월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 157건(15.7%)으로 지난주와 비슷하였으며, 미국이 191건(19.1%), 프랑스가 299건(30.0%), 독일이 152건(15.2%), 이탈리아가 51건(5.1%), 폴란드가 27건(2.7%), 영국이 22건(2.2%), 네덜란드가 20건(2.0%), 스페인이 16건(1.6%), 홍콩이 11건(1.1%), 기타가 52건(5.2%) 등으로 나타났다.

 

  • 2월 2주차 대표적 유포 이슈

[그림 1. 파밍 알림 서비스를 우회하기 위해 변조된 hosts(hosts.ics) 및 지마켓(Gmarket) 이용을 위한 사전 징후]

지난해 초부터 등장한 파밍 악성코드는 매주 새롭게 변화하고 있는 가운데 금주 파밍 알림 서비스를 우회하기 위한 악성코드가 발견되었다. 파밍 알림 서비스는 지난해 9월부터 미래창조과학부와 한국인터넷진흥원(KISA)이 금융위원회 및 이동통신 3사와 함께 협력해 시행 중인 서비스로 파밍 악성코드에 감염되어 사용자가 가짜 은행 사이트로 접속 시 경고와 동시에 차단하는 역할을 하고 있다. 하지만, 금주 변조된 hosts(hosts.ics)를 통해 발견된 새로운 파밍 사이트 주소는 기존 .kr에서 .kor로 도메인 변경을 통해 파밍 알림 서비스를 우회 하고 있는 모습이 확인되었다. 한편, 다른 파밍 악성코드에서는 지마켓(Gmarket) 사이트를 활용하려는 사전 징후도 포착되었으나 동작은 하지 않았다. 매주 파밍 악성코드는 다양한 통로를 통해 등장하고 있는 만큼 전체적인 범위에 대한 관찰이 이루어지지 않는다면 파밍을 통한 피해는 계속 늘어날 수 밖에 없다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

2013년 악성링크 탐지 및 영향력에 대한 PCDS 전체 기록.




3.20 이후 파급력( 대량 유포를 위한 네트워크 통계 분석 지수) 부분을 보강한 챠트. 제일 밑의 붉은색이 순수 악성링크 출현 수치, 가운데의 노란선이 MalwareNet으로 표현되는 파급력, 전체 유포지 출현 빈도는 파란색..

결론은 2013년은 전체적으로 상당히 높은 빈도의 위협을 유지하였다는 것을 볼 수 있다. 그 결과로 3.20 및 6.25가 발생 되었고 이후에도 추가적인 위협들이 추석 전후/ 12월쯤에 있었던 것을 확연하게 알 수 있다.

3.20 때보다 확연하게 높아진 위험들이 이후로 계속 유지 되었으나 그나마 절반의 성공 ( 좀비 PC 대량 확보 실패 그러나 목적은 달성한..)이라 할 수 있는 6.25 정도로 끝난 게 천만다행이라고 할 수 있을 것이다.

매주 관찰된 결과를 1년 동안 누적한 결과를 살펴보면 틀린 방향을 보고 있지는 않다는 것을 확인한 것이 가장 큰 소득.

이번 2013년 연간 위협보고서의 공개는 세계적으로 유례가 없는 사례집에나 나올 법한 사건들을 연이어 겪은 인터넷 속도(?)강국 전체를 살펴보고 관찰된 데이터라는 점에서 극히 드문 자료라 할 수 있다. 


*문의: info@bitscan.co.kr 


[빛스캔] 2013년 온라인 위협 동향 (연간 보고서).pdf




빛스캔 측의 지난해 월별 동향을 정리해 보면 다음과 같다.
 
◇3월=3.20일 사이버 테러가 일어나기 직전 악성코드의 활동이 급격히 늘어난 정황이 포착되었으며 즉시 수상한 움직임에 대한 경고하였다. 하지만, 3.20 사이버 테러는 방송사를 비롯한 금융권에 장애를 일으키며 상당한 혼란을 야기하였다. 또한 사이버대란을 이용한 파밍 사이트가 등장하였으며 사용자의 금융정보 유출 후 사용자의 PC를 파괴하는 모습까지 포착 되었다. 당사는 3월 20일 이후 26일까지 긴급 대응하여 피해 확산을 방지하는데 노력하였다.
 
◇4월=특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경해 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정되며 최종 파일로는 루트킷이 발견되었으며 국내에서는 루트킷과 파밍과 함께 공다팩, 레드킷, CK VIP가 관찰되고 있으며 감염시키기 위해 MalwareNet을 활용하여 감염시켰다. 또한 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.
 
◇5월=5월 1주부터 5월 2주차 까지 홍콩 소재 C 클래스 대역 최소 10개에서 13개까지 꾸준하게 유포를 하고 있다. 지난 3.20 사이버테러 직전에 발생했던 징후(방송사 이름을 가진 악성파일)가 5월 3주차에 나타나기 시작했다. 특히, 감염 이후 C&C 및 접속자 통계 사이트로 연결(감염자 통계를 확인 목적)에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 경보단계를 “주의”로 상향하였다. 5월 4주에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의" 에서 "경고"로 상향하였다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었으며 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지 활용하였으며 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황이 관찰되었기 때문이다.
 
◇6월=6월 1주 Cool Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국내외에 서 활발한 활동을 보였다. 6월 2주에는 5~6개의 MalwareNet을 이용하여 80여곳 도메인에서 유포가 발생하였다. 하지만, 6월 3주차에 총 6번에 걸친 정보 공유를 통해 대응한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 감소했다. 하지만, 6월 4주차에 다시 MalwareNet의 활동의 증가로 적게는 50여곳, 최대 200여곳에 파급되는 효과를 가져왔다. 
 
◇7월=6월 25일, 사이버테러가 발생 후 신규 악성링크의 발생은 현저히 줄어들었다. 하지만, 영향받는 웹 사이트의 복구가 늦어지며 주말에 삽입되었던 악성링크가 평일까지 유지되는 모습을 관찰하였다. 또한, 7월에 활발했던 공다팩의 비율이 점점 감소하여 7월 4주차에는 CK VIP를 이용한 공격이 다수 발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습도 발견하였다. 그리고 7월 3주차에 치음 확인되었던 HTTPS(특정 포트)를 이용한공격이 7월 5주 HTTP URL과 함께 결합되어 공격하는 새로운 형태가 나타났다.
 
◇8월=8월 1주차 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가하였으며 지속적으로 특정 포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다. 8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였으며 포털사이트를 이용한 파밍이 국내 포탈까지 활용된 정황이 관찰되었다. 8월 3주차에는 다수의 유포지를 활용하여 최종 적으로 다운로드되는 악성코드가 동일한 형태로 확인되었으며, 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 함께 관찰되었다. 8월 4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 함께 관찰되었다
 
◇9월=9월 1주차부터 2주차까지는 8월부터 나타나기 시작한, 최대 40개 웹사이트를 보유한 MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 공격 방식이 더욱 활발히 나타났으며 이들의 목적은 사용자의 금융계좌를 노린 파밍 악성코드로 확인되었다. 또한, 9월 3주부터 4주차까지는 멀티스테이지가 MalwareNet 과 결합하여 다수 유포되는 현상이 나타났으며 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 발견되었으며, 추가 다운로드 된 파일은 파밍의 기능과 함께 감염자 정보를 국내 C&C 서버로 전송하는 역할도 관찰되었다. 9월 5주차에는 전체 발견된 악성링크는 9월 관찰기간 중 최저치를 기록하였다. 더불어, 9/25(수)에 “긴급 의심 정보 공유” 이후 악성링크의 활동은 나타나지 않는 모습을 보였다.
 
◇10월=10월 1주부터 10월 3주까지 전체 발견된 악성링크와 신규 악성링크가 감소세와 증가를 반복하였지만, 미치는 영향은 거의 없는 것으로 관찰되었다. 하지만 10월 2주부터 일부 P2P 사이트에서 악성링크의 유포를 시작으로 10월 3주차에는 그동안 해외에서 관찰 되었던 IE 제로데이(CVE-2013-3897)가 Caihong Exploit Kit에 탑재되어 불특정 다수에게 유포되고 있는 정황을 관찰되었다. 하지만, 미치는 영향은 그리 크지 않은 것으로 분석되었다. 10월 4주차에는 그동안 나타나지 않았던 주요 사이트를 통한 유포와 공다팩이 9개의 취약점을 이용한 유포와 함께 레드킷까지 등장하여 많은 영향을 주었다.
 
◇11월=전체적으로 위협수준이 크게 증가한 가운데, IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률은 증가하였다. 특히, 악성링크에 대한 초기 정보 수집을 차단하기 위해 시간차 공격이 11월 2주부터 지속적으로 나타났으며 국내 서버를 이용한 공격도 일부 나타났다. 또한, 11월 3주부터는 사용자의 방문이 많은 파일 공유(P2P), 언론사이트를 중점으로 악성링크를 직접 유포하는 모습이 나타났으며 그 결과 파급력은 상당히 높게 나온 것으로 집계되었으며 11월 4주차에는 임계치를 넘어서는 위협적인 모습까지 보였다.
 
◇12월=12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.
 
악성코드 자동화 공격 도구에 대해서는 지금까지 국내에서는 다양한 자동 공격화 도구가 출현하였으며, 이러한 공격 도구들은 버전 업데이트를 통해 지속적으로 진화하고 있으며, 난독화를 통해 탐지 및 분석을 위한 디코딩이 어렵게 하고 있는 상황으로, 국내에서 발견되고 있는 자동 공격화 도구는 공다팩(Gondad)과 CK vip에서 변형된 카이홍(Caihong)이 지속적으로 탐지되고 있으며 그 밖에 레드킷(Redkit), 블랙홀(Blockhole) 공격킷도 활동하고 있다고 밝혔다.
 
또 금융 보안위협에 대해서는 지난해 온라인 게임 계정탈취가 주요 이슈였다면 올해는 사용자들의 금융계좌를 노린 파밍 악성코드가 나타났다. 1월부터 시작 된 파밍은 올해가 끝나기 전까지 지속적이고 빠른 변경을 통해 사용자를 속이기 위해 노력하는 모습을 보였다고 분석했다.
 
한편 향후 전망에 대해 빛스캔 측은 “웹, 이메일, USB 또는 사람으로 한정된 위협요소에 대해 우리는 관리 정책과 보안도구들을 이용해서 일정 수준의 보호를 받을 수 있다. 그러나 아직 웹을 통한 대량감염에 대해서는 뚜렷한 관찰도 부족하고 즉시 대응 할 수 있는 체계도 미비함에 따라 2013년에 이어 2014년도 웹을 통한 대량 감염과 공격은 일상적으로 발생될 것으로 예상된다”고 분석했다. 
 
개선 방안에 대해서는 “지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다”며 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 한다”고 조언했다.
 



Posted by 바다란
TAG 빛스캔


본 보고서는 2013년 12월에 주간단위로 발행된 기술분석, 동향분석과 브리핑을 참고하여 한달 간의 위협동향을 기술한 내용입니다.


매달 월간 보고서가 공개용으로 발행 되고 있습니다. 본 12월 월간 보고서는 지난 1월 29일 정기 보고서 발송일에 발행된 내용으로서 12월간의 전체적인 위협을 관찰 하고 확인 할 수 있습니다. 또한 대표적인 위협들을 기술함으로써 현재의 변화에 대해서도 확인 할 수 있도록 제작 되고 있습니다.


상세한 내용은 주간 단위로 발행되는 정식 정보제공 서비스를 구독하셔야 가능하며, 개략적인 내용은 주간 동향요약과 매달 발행 되는 전월의 월간 인터넷 위협동향 보고서를 통해서 확인 하실 수 있습니다.


* 2013년 연간 보고서도 1월 4주차에 정식 고객을 대상으로 릴리즈 되었으며, 곧 공개용으로도 만나실 수 있습니다.



<2013년 12월 위협레벨 동향>

12월 1주부터 증가된 신규 공격코드의 영향력은 MalwareNet과 일부 대형 사이트와 결합이 되면서 국내 인터넷 환경에 심각한 위협을 가져왔으며, 그 결과 12월 3주까지 인터넷 위협 등급을 “경고”로 유지하였다. 하지만, 12월 4주 차부터 효과적인 공격이 발생하지 않았고, 소규모적인 공격이 발생하여 “주의” 단계로 한 단계 하향 조정했다.



2013.12월 월간 동향 총평

12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.



상세 내용은 첨부 보고서를 참고 하세요.



[빛스캔] 월간인터넷동향보고서(2013.12).pdf



Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 1월 4주차 한국인터넷 위협지수]

1월 4주차 전체 발견된 악성링크 및 신규 경유지는 레드킷의 활발한 활동으로 인하여 대폭 증가하는 모습을 보였지만, 기존 공다팩이나 Caihong 공격킷 등의 공격이 많이 발생하지 않아 파급력은 상대적으로 작게 나타났다. 지난 주와 마찬가지로 레드킷은 특정포트(8000번)를 사용하고, 도메인은 특정 국가로 한정되고, 바이너리는 SkyDrive를 통해 유포된 것으로 분석되었으며, 특히, 바이너리 분석 결과 가상환경에서 분석하기 어렵도록 Vmprotect를 이용한 정황도 포착되었다. 금주 더욱 활발해진 레드킷의 영향과 지속적으로 나타나는 영향력있는 사이트의 악성링크 유포가 지속되고 있어 인터넷 위협 수준을 "주의" 단계로 그대로 유지한다.

 

[표 2. 시간대별 통계]

 

설날 연휴를 앞둔 시점에서 평일을 통해 유포하는 비율이 높아지는 모습이 매년 나타나고 있다. 주중에는 다수의 레드킷이 영향을 주었지만, 공다팩과 카이홍 공격킷도 일부 영향력 있는 사이트를 통해 활발한 모습을 보였다. 하지만, 주말에는 활동이 거의 나타나지 않는 한가한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

2013년 12월 4주차부터 2014년 1월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 226건(16.9%)으로 지난주에 비해 증가하였으며, 미국이 201건(15.1%), 프랑스가 555건(41.6%), 독일이 168건(12.6%), 이탈리아가 32건(2.4%), 폴란드가 29건(2.2%), 스페인이 21건(1.6%), 네덜란드가 18건(1.3%), 영국이 16건(1.2%), 러시아가 15건(1.1%), 기타가 54건(4%) 등으로 나타났다.

 

  • 1월 4주차 대표적 유포 이슈

[그림 1. 경기도기술학교를 통한 악성코드 유포]

경기도에서 관리하는 경기도기술학교(vo.gg.go.kr) 도메인이 1월 21일부터 23일까지 공격코드 유포지와 악성코드 경유지로 각각 활용이 되었던 정황이 포착되었다. 특히, 공격코드가 들어있는 유포지로 활용된 이틀간 약 80여개 사이트에 영향을 주었으며, 경유지로 활용될 당시에 구글의 StopBadware는 접속하는 사용자에게 아무런 경고를 하지 않는 모습이 확인되었으며 이 기간 사이트를 방문한 사용자는 악성코드에 감염이 되었을 확률이 매우 높다. 국가 도메인을 악성코드 유포지 및 경유지로 이용한 경우는 매우 이례적인 사례이며 발견되지 않은 이슈가 더 있을 것으로 보인다.

보다 세부적인 사항은 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

문제 근본을 보자.


KCB의 FDS 개발 담당자가 확인된 것만 1년 전부터 고객사들 시스템 구축하면서 정보를 빼냈다고 한다. 그렇다면 KCB의 내부 데이터들은 이미 오래전 이야기 아닐까? 

당연히 그럴 것이다. 또한 그걸 통제할 수 있는 범위와 권한은 보안 실무자들에게 주어지지도 않았을 것이고.. 내가 보기엔 이번 유출 범위는 3개 회사가 아니고 좀 더 상세히 본다면 국내 금융기관 전체의 데이터들이 유출 되었다고 봐야 할 것같다. ( KCB가 대부분의 금융기관으로부터 데이터를 받아서 가공한 뒤에 제공을 하는 역할인데 이게 무슨 의미인지 생각 해야 되지  않겠나? )


결론적으로는 금융기관, 금융기관의 정보를 가공해서 제공하는 기업, 통제와 관리 책임을 가진 금융정책당국들 모두가 한통속의 책임을 가지고 있다. 책임전가와 회피는 현재의 상황에서 전혀 무의미하다. 회피 할 수록 더 깊이 들어가게 될 것이다.



Wiki 설명에 따르면 KCB의 구성과 내용은 다음과 같다.

http://ko.wikipedia.org/wiki/%EC%BD%94%EB%A6%AC%EC%95%84%ED%81%AC%EB%A0%88%EB%94%A7%EB%B7%B0%EB%A1%9C


"코리아크레딧뷰로(KCB, Korea Credit Bureau) 주식회사는 서울특별시 종로구에 본사를 둔 대한민국의 개인신용평가 전문회사(Credit Bureau)이다. 2005년 2월 22일, 신용정보의 이용 및 보호에 관한 법률에서 정하는 신용조회 및 신용조사업무, 기타 위와 관련된 부수 업무를 목적으로 하여 설립되었다. 자본금은 500억원이며 은행, 카드, 보험사 등 19개 법인이 주주로 참여하고 있다. 


국민은행, 삼성카드, 서울보증보험, 우리금융지주, LG카드, 농협, 하나은행, 신한금융지주, 광주은행, 삼성생명, 외환은행, 경남은행, 교보생명, 대한생명, 삼성화재, 비자카드, 현대카드, 현대캐피탈 등의 국내 주요 금융회사이다.


~~

KCB는 은행, 신용카드사, 보험사 등 금융회사나 공공기관으로부터 개인신용정보를 수집해 가공한 후 이를 다시 금융회사에 제공하고 있다. KCB는 금융회사들의 리스크 관리 인프라 역할을 수행하는 대한민국 내 최대의 데이터 풀(Data Pool)을 확보하고 있다는 평가를 받고 있다. [2] 대한민국 국민 신상정보의 70% 이상인 3600만개의 데이터를 보유하고 있다. 경제활동 연령대인 20~59세 인구만 따로 분석했을 때엔 98% 수준에 육박한다."


사실상 대한민국 경제활동의 전체에 대한 민감한 정보가 모두 유출되었다고 보아야 할 것이다. 지금이야 USB를 통해 목록화된 1억건만 이슈가 되고 있고 3개 카드사만 문제가 되고 있다고 보도되고 있지만 과연 그럴까?


상대적으로 감시나 눈길이 심한 고객사에서도 정보를 빼냈는데 자신의 회사에서 안빼냈을까?


이전에 주민번호를 대체하기 위해 아이핀이란 제도를 시행 할때 아이핀에 대한 인증을 신용평가사를 통해서 확인 하도록 되어 있었다. 그때 지적한 문제가 만약 모든 정보를 쥐고 있는 신용평가사가 해킹이나 정보 유출이 된다면 어떻게 할 것인가 였다!...


이때 신용평가사에 대한 해킹이나 정보유출에 대한 답변은 없었다. !!!

그리고 그 문제는 이제 발생 되었다.  당연한 예상이였으나 답은 없었다는 것.



금융회사들이 주주로 참여하여 또 다른 회사를 만들고 정보를 공유하고 가공하여 또 다른 이득을 창출한다.  모든 것이 효율성과 수익에만 철저하게 맞춰져 있다. 그 기반이 되는 정보는 그냥 수익의 도구 일뿐이다. 



결론은 KCB랑 금융기관은 동맹군이며, 금융정책당국은 사령부 역할 정도 한다고 보아야 된다.  동맹군이니 가장 민감한 곳간의 열쇠도 맡겨두고 턱 하니 믿고 일한 것 아닌가?  사령부도 당연히 그랬을 것이고.. 전쟁의 패전 책임은 장수와 사령부 모두에게 있다. 패하고 난 이후에 동맹군이 배신을 해서 패했다는건 말도 안되는 변명일 뿐이다. 전쟁에 패해서 망하기 직전까지 왔는데도 책임전가를 이야기하는 사례는 고대로부터 어마어마하게 많은 사례가 있다. 


패전의 책임은 위로부터 엄밀하게 물어야 할 것이다.  이번과 같은 대참사의 원인은 경계의 실패가 아니다. 책임은 관료화된 결정과 책임회피를 일상으로한 감독기관 그리고 금융기관 모두의 동반책임을 져야할 엄중한 상황이다.




기반이 튼튼하지 못하고 모양에만 집중하다 기둥이 한꺼번에 무너져내린 경우라 할 수 있다.  KCB도 데이터베이스 품질대상과 국내 최초 데이터 관리 인증에 빛나고 있다. 허울 좋은 인증과 관리체계들도 단지 홍보와 구색맞추기 수단으로 전락하고 있는 상황에서 실질적인 보안은 먼 나라 이야기다.  


* 2013년 11월 한국데이터베이스 진흥원이 주관하는 데이터 관리 인증(DQC-M)에서 국내 최초로 통합 3레벨을 인증 


*11월 29일(금) 한국지능정보시스템학회 추계학술대회에서 KCB가 '빅데이터 대상' 수상


* 11월 28일(목) KCB가 2009년에 이어 다시한번 '2013 데이터품질관리대상'을 수상


* 2012. KCB가 금융소비자보호대상 기타 공공부문에서 최우수상(금융감독원장상)을 수상


* 2007년 10월 5일 'KCB ISO27001 인증 획득

Posted by 바다란


개인정보보호는 지붕이다.

기술적 보안은 기둥이다. 기둥이 무너지는데 지붕만 수선한다. 지금의 정보유출 사고들도 지붕만 삐까뻔쩍하게 만들 가능성이 매우 높다. ( 거의 100%) 그러나 기둥이 없는데 집이 될리가 있나?  규제와 통제들은 모두 지붕만을 쳐다본다. 기둥은 오래전 기둥이라 낡아서 흔들리는데 그건 쳐다 보지도 않는다. 집을 튼튼하게 해야 할 생각을 해야지 감시만을 피하고자 한다. 이건 본질과 상당히 멀다. 기둥이 무너지면 황금지붕도 의미가 없다는 것을 알아야 할 것이다.


현재 위협들에 대해 기술적인 방안들이 유연하게 대처하지 못하는 상황에서 지붕만 강화한다고 대책이 되나?


현실을 직시하고 


'정보유출' 카드사, 문자서비스 全고객 무료

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=001&aid=0006706290&sid1=001



전체 카드 교체 및 재발급이 먼저 일 것 같은데..

대출기록이나 민감한 신용정보가 유출 되었다면 이건 관리상의 책임과 보상이 있어야 할 것이고.. 꼴랑 문자서비스 무료??


안 그래도 다른 문자들도 공해 수준으로 엄청나게 받고 있는데, 이런 걸 수습방안이라고...


매번 사건이 발생 될때마다 사건에만 집중한다. 그 상황에서 방향은 어디론가 사라지고 없다. 

개인적으로 전체 현상을 살펴보면 정보 유출의 원인은 몇 가지로 집약 되고 있다. 이번 금융 정보 유출의 경우에는 USB 사용 금지나 감시, 관리 강화 방안만 나올 것이 뻔하지만 .. 앞으로 나올 문제들 그리고 이미 출현한 문제들에 대해서도 살펴 봐야 "뒷통수" 맞지 않을 것이다. 지금 대책 수준이라면 앞으로 뒷통수는 내준 거나 진배 없다.


현재 정보유출의 원인은 세 종류만이 있다.

  • 웹.( 웹서핑을 통한 감염, 웹서비스 직접 침입등)
  • 이메일
  • USB ( 혹은 사람)
  • 정보유출의 모든 것이 이 세 가지 유형으로 발생된다.
    그래도 현재 통제가 가능한 것은 USB, 이메일 정도.

    이메일이 늦게 온다고 심각한 문제가 생기지 않는다. 다들 그럴 수도 있지 정도.. 즉 포함된 파일에 대한 실행등을 통해 충분히 검증 할 수 있는 여유가 있다는 것.

    USB및 사람은 통제 정책의 문제. 

    마지막으로 웹은? - 지금 웹서핑 금지하는 곳들 있나? 아예 안되면 모르겠는데 일부라도 되면 그건 문제는 똑같다. 그렇다고 웹서핑 할때 해당 사이트 검사한다고 연결 중지 시켜 놓고 점검한 뒤에 세션을 붙여 줄 수 있나? 
    ( 그래서 Fireeye 솔루션들은 감염된 이후의 트래픽을 통해 내부 네트워크를 돌아 다니는 악성기능을 찾는 것일꺼다. 앞단에서의 검증이 불가능하니까.. 사실 현재 글로벌하게 예방 기능의 제공은 구글 크롬이 유일하지 않을까? 누구도 영역을 커버하기엔 어려우니 당연할 것이다. )


    이메일은 기다릴 수 있어도, 웹 서핑은 단 몇초의 지연도 어렵다. 이 상황에서 악성 유무를 검사한다는 것은 택도 없는일.

    지금 정보 유출되고 문제가 되는 것은 그나마 통제라도 가능한 영역이라는 점일 것이다. 여러 헛점들이 있어서 악용 되겠지만 계속해서 보완을 하면 안정화는 충분히 찾을 수 있을 것이다. 그렇다면..웹은 어떨까? .. 웹 서핑만 해도 감염될 확율이 높은 상황에서 내부 사용자 PC가 감염되어 유출 되는 것이나 피해를 입히는 것을 어찌 막을 수 있을까?


    문제를 객관화 해서 본 이후에, 효율적인 방안들이 모색되고 적극적으로 실행 되어야 정보유출도 해결 될 것이다. 정보 유출의 원인을 크게 보아야 할 것이고 큰 범주에서 실행 되어야 할 것이다.

    타켓의 4천만 카드 정보 유출은 POS 에 대한 해킹 이후 악성코드 감염으로 발생 되었음을 알아야 된다. 그리고 타켓과 같은 유형의 정보 유출은 사람을 통한 은밀한 유출과 사용과는 다르게 순식간에 널리 확산되어 보호 할 방안이나 수습 방안도 어려울 것임을 생각해 봐야 하지 않을까?

    이제 라운드 II. 
    지난 해에 이어서 본격적으로 공습들이 시작될 것이고, 확인된 자신감만큼 거세게 흔들 것이다. 웹과 이메일을 통해서 말이다. 웹을 통한 악성코드 감염과 내부침입을 통제할 수 있는 곳 그리고 정보에 대한 통제정책을 확실히 수행하는 곳만이 살아남는다.

    정책이야 사람을 늘려서 어찌한다 해도..웹은 어쩔 것인가?


근본적인 원인과 위험 요소를 알아야 전체적인 대책이 된다. 한 방향만 보면 기형적으로 발달하게 되고 그 사이에 또 다른 뒷통수를 맞게 된다.  현재 상태를 알고 핵심에 대해 집중을 해야 함에도 불구하고 전체적으로 비효율성의 극치에 도달하게 될 수밖에 없다. 이게 설상가상이라 하는 것.



대체 지켜야 될 중요한 것이 무엇이란 말인가?

필수 관리 인력도 비용절감과 효율성이란 측면에서 IT 자회사들 모두 만들고 이런 자회사 인력들 돌려 가면서 활용 하지 않았던가?


내부에 전문가를 키우지 않고 단지 도구로서만 보니 아웃소싱도 하고 대부분의 IT 혹은 보안 인력들을 모두 몰아두고서 공동 활용 한 것 아닌가? 금융기관들중 지금은 보안 기능까지 자회사가 관여하지 않는 곳들은 없지 않나? 보안이란 것 자체가 서버에 권한을 가지고 있는 것인데 말이다. 그리고 그들을 단지 자회사에 시키는 일을 하는 조직이라고 무시하지는 않았는가?  ( 행동은 아니더라도 급여는 차이가 명백 했을꺼다. 지금도...)


2011년 농협 사태 당시 내부 인력 중에 서버군들을 직접 다룰 수 있는 인력이 거의 없어서 문제의 시발점 이였던 IBM의 복구에 의존 할 수 밖에 없었다는건 시사점이 있다.


그리고 지금 금융 기관이나 회사들 중에 IT 아웃소싱 하지 않는 회사들이 있나? 회사 하나 만들고 그 인력들 뺑뺑이 돌리지 않는 기관들이 있나? 자회사 인력들의 급여수준은 말 하나 마나이고..


즉 지금의 문제는 "전문인력들을 키우지 않았다는것" , 경영 효율화란 명목으로 필수 기능인 보안과 감시 기능에 해당하는 것들도 모두 자회사에 몰아 넣고 "자원의 공동 활용" 이란 측면으로 이용 했다는 것.  특히 자회사의 "전문가들을 단지 도구로 보았다는 것" ..


관리나 통제, 기획이 가능한 인력들을 단지 도구로 보고 시키는 대로 하라고 했으니 제대로 될리가 있나? 


이 모든 것의 근원은  " 경영진들의 정보를 보는 시각"이 가장 큰 문제이다. 단기간의 성과에만 매몰되니 효율화란 항목으로 잘 모르는 기능들은 모두 한 곳에 몰아 넣은 것하며, IT 기술 기반하에서 운영되는 작금의 대부분의 시스템에서 조차 "정보의 관리와 통제, 보호 방안들에 대한 인식 미비"가 가장 크다.



만약 전문가들이 있었다면, 대책이나 규정을 제시하는 기관들에도 전체를 보는 인력들이 있었다면 현상의 근원을 처음부터 따져가면서 전체 위험에 대한 Flow를 제시 했을 것이다. 지금은 그냥 사건/사고 발생 되는대로 우루루 몰려가며, 잠잠해 지기만을 기다리고 머리 숙인다. 


그런다고 문제가 사라지지 않는다. 인원수 많다고 동네축구가 프리미어리그가 되지 않는 것이다.  감독이 몰려 가라고 하는데 메시가 무슨 소용이란 말인가?  감독이 제대로 되어 있지 않고 선수들 포지션도 엉망이다. 그래서 "동네축구"인데도 불구하고 유니폼만 그럴싸한 프리미어리그급인게다. 


감독이 게임 전체를 보지 못한다. 선수들의 특성을 모르고 무엇이 중요한 줄 모른다. 이게 전반적인 문제라고 할 것이다.


* 효율화란 측면으로 인력 재배치 및 자회사 활용 ( 보안이 여기에 해당)

* 기획은 본사에서 실행은 자회사에서.. ( 실무를 누가 담당 하나? 대우는 낮은데 딴생각 품는게 당연하지.- 또한 전문가의 의견들을 듣지 않는 결정자나 결정부서가 어떤 변화를 기대 하는가? )


이 모든 사고들은 기술을 단지 도구로 보고 관리의 대상으로 직접 보지 않은 인식이 문제다.  국가차원에서도 마찬가지.  단기 성과에 집착하는 경영진이 비용으로만 인식되는 보안과 기술을 가치라고 보기나 하겠는가?


"비용으로서의 보안"에 대해 절대적인 인식 개선이 기업이나 국가의 리더급에서 인식 하지 못한다면 이건 끝. 이제 생존의 문제라는걸 절실하게 이해 하도록 하는 변화와 노력이 요구된다.






국가의 경우에는 Risk란 측면에서 전체를 보는 전략가가 필요한 것이고.. 전문가들이 대책을 수립 하려면 서비스에 대한 이해가 당연히 높아야 되는 것 아닐까? 전문가들을 도구로서 내몰아 놓고서 과연 이게 될까? 


관제라는 명목으로 분야별 전문가들이나 보안전문가로 성장하고 싶은 많은 새싹들과 인력들이 "인건비" 싸움에 내몰려 24시간을 교대로 지키고 보고서 작성하는 머신으로 동작하는게 지금의 현실이다.


이 상황에서 전문가로 성장한다는 것은 택도 없는 사치스런 생각일뿐. 


전문가를 키웠는가? 전략가가 있는가?  국가든 기업이든 생각이나 했는가? 만약 있다면 그들은 어떤 목소리를 내며, 그 목소리와 이야기를 얼마나 듣고 존중 했나?  단지 구색 맞추기와 형식으로 치부하지 않았나 말이다.  


보안은 비용이 아니라 기업이나 국가 생존을 위한 문제라고 했다.  이번 정보유출의 경우에도 생존과 직결될 정도의 인식을 못가지게 된다면 이제 대한민국에서 지켜야 할 것은 없게 될 것이다.


경영진이 생존과 직결되었다는 인식을 못가지는한 기업이나 국가나 바람앞의 불일뿐이다.

변화는 시간제한이 있다. 너무 늦은 시간이 아니길...  - 바다란

Posted by 바다란


기사 내용은 별반 없다.

http://threatpost.com/google-blocks-malicious-file-downloads-automatically-in-chome/103604


Google has fixed five vulnerabilities in its Chrome browser and also has activated a feature that will block malicious file downloads automatically. The change is a major security upgrade for Chrome and will help prevent users from unwittingly downloading harmful files, an attack vector that attackers count on for the success of drive-by downloads and other attacks.

Attackers rely on their ability to install files on victims’ machines, either with the cooperation of the user or through an automatic download in the background. That’s the essence of many Web-based attacks today and the change in Chrome will give users an extra layer of protection, even if they happen to click on a malicious file or visit a site that’s serving malware.

Along with that change to Chrome’s security, Google also fixed five separate security flaws in the browser, including one that could have been used to force the browser to sync with an attacker’s Google account. Here’s the list of the vulnerabilities patched in Chrome 32:

In addition to those vulnerabilities, reported by external researchers, Google also fixed nearly 20 other flaws that were discovered during the company’s internal security efforts.


이제 구글의 차단 모델을 공식화 한다는 것. 이제 비용지불과 댓가를 지불하는 시간은 더욱 가까워진다는 것이 핵심.


- 구글 크롬 취약성 5개 패치

- 최신 크롬 버전에서는 공식적으로 차단 ( 사용자의 악성파일 다운로드 그리고 악성코드 감염에 이용되는 웹서비스들에 대한 차단)




취약성 패치를 제외하고는 동일하다. 그러나 지금까지 구글이 Stopbadware를 이용한 차단 모델을 공식적으로 알린 사례는 없으므로 의미가 있다고 하겠다.


구글의 문제점도 여전히 동일.. 모니터링 범위를 벗어나거나 감시 임계치를 벗어나서 자주 변경되고 사라지는 공격 코드들에 대해서는 여전히 방법이 없다.



위험한 가능성이 있는 곳에 대한 경고가 끝! 그리고 그 위험한 가능성도 범죄 현장을 보존하는 "폴리스 라인"에 지나지 않는다.  우범지대를 피하면 범죄는 줄어들 수 있다. 사용자가 줄어들게 되면 공격자들은 다른 대상을 찾게 된다. 그리고 지능적으로 변화된다.


지금까지의 행동과 역할만으로도 전 세계 어떤 기업이나 기관도 그들을 이겨낼 수 없다. 최소한 그들과 동등하거나 비교될 만한 가치를 제공 할 수 없다. 보안회사들도 한계치 이고 역부족이다.


전략으로는 제한된 영역 내에서의 촘촘한 감시망을 통한 비교우위를 가지는 것만이 남았을 뿐이다.  누가 그들만큼 멀리 보고 노력 했는가?


누가 그들만큼 비용과 인력, 시간을 투입 했는가?

아무도 하지 않았다. 그리고 그 결과는 더 빨리 다가올 것으로 보인다. 


예상보다 더 빨라질 것.


안드로이드, 크롬 .. 유.무선을 연결하고 사물인터넷까지 연결되는 광범위한 생활 영역에 대해 구글은 그들의 안전한 데이터를 적용하게 될 것이다.  공짜로 하게 될 것이라고? 착각도 자유다. 최소한 대부분의 IT 기업과 기관들이 그들의 의도에 의해 끌려갈 수밖에 없다. 압도적 비교우위를 가지는 보안 기능으로부터 자유로울 수 있는 곳은 이제 없다. 전 세계 그 누구도~


생각해 보라.  앞으로도 웹이나 모바일을 통한 악성코드 감염 위협은 극도로 높아질 것이 확연한데 거기에 대한 보호 모델을 제공하며 ( 단순한 요소기술이 아닌 진짜 빅데이터와 기술을 결합한 상황) , 실제 보호까지 이루어진다면  그걸 사용 하지 않을 곳이 어디일까?  그때부터 종속이 된다. 지금도 종속이지만 앞으로는 더욱 깊숙하게 된다는 것이다.


"공포마케팅"이 아니라 실제화된 위험이다. 이걸 제어하지 못하는 곳들은 종속된다.  한국에 있을까? 그냥 웃자.


제한된 영역에서의 전략전 비교우위를 지니는 것조차도 힘들게 될 것이다. 아무도 고민 하지 않았으니까..



http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=038&aid=0002457829


"기술종속 비애… 구글에 뒤통수 맞은 이통사들"


위의 기사가 그냥 나왔을 것이라고 생각하면 안된다. 이통사들도 할 말없다. 비용 대비 효과라는 말로 무료제공 이라는 말에 덥석 물어서 이득을 내온 행태를 돌아 봐야 할 것이다. 이럴 줄 몰랐다고? 어처구니 없는 변명.


경영이란 단기적 성과가 가장 두드러지게 보인다. 그러나 길게 본다면 흐름을 알고 저 멀리에서 다가오는 거대한 파도를 볼 줄 알아야 할 것이고, 준비를 할 수 있어야 하는 것 아닐까?  


지금 상황은 " 전략적인 대 실패" 그리고 대안이 없다. 그냥 속절없이 당할 수 밖에~~


시장을 먼저 형성하게 한다음 거둬 들인다는 전략. 이런 플레이마켓 조차도 당연한 과정을 거치는데 이보다 더 거대한 그물을 쳐둔 Security로는 심할 경우 국가에 대한 압력도 가능할 것으로 보인다.  


"우리가 지켜준다. 그러니 너희는 무장하지 마라. "

스스로 지키려는 세력들은 압도적 우위로 경쟁 대열에조차 끼우지 않는다. 그렇게 자생하는 시장은 사라지게 될 것이다.  그 이후에는 " 계속 보호를 받고 싶으면, 세금을 내라!!!"  당연한 수순 아니던가?


하찮게 생각하는 Security가 이제 전체 ICT 생태계를 쥐고 흔들게 될 것이다. 모두가 소꿉장난을 하고 동네 땅따먹기를 하고 있을때 말이다.


- 바다란

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<1월 1주차 한국인터넷 위협지수>

1월 1주차 전체 발견된 유포지는 지난주와 비슷한 수치로 나타났지만, 신규 경유지 및 파급력은 크게 감소했다. 주된 원인으로는 국내에 직접적인 영향을 주었던 공다팩, 레드킷의 활동이 부진했던 것에 대한 영향이라 판단된다. 하지만, 금주에는 파일공유(P2P), 어학원, 언론사, 학교, 취업 등 다양한 사이트에서 간헐적인 악성코드 유포가 이루어졌으며 현재까지도 몇몇 사이트에서는 악성링크의 흔적인 카운터링크 등이 남아있는 상태이며 이를 통해 다운로드된 최종 바이너리는 대부분 파밍 악성코드와 함께 백도어 종류의 악성코드로 확인되었다. 지난해 1월부터 출현한 파밍 악성코드는 처음 발견된 후 매주 다른 형태로 진화하고 있으며, 금주 또한 약간 다른 형태로 출현하였다. 국내를 통한 악성링크의 감소와 함께 4주 연속으로 파급력이 감소한 점을 감안하여 한국 인터넷 위협 수준을 "관심" 단계로 하향 조정한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 금요일 ∼ 일요일까지 집중적인 유포현상이 발생하였으며 지난주와 다르게 주말에 한정되어 있는 움직임을 보였지만 지속적으로 변화하는 만큼 관찰범위를 넓게 볼 필요가 있다.

 

<최근 1달 악성링크 도메인 통계>

2013년 12월 1주차부터 2014년 1월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 195건(39.6%)으로 지난주에 비해 대폭 감소하였으며, 미국이 161건(32.7%), 독일이 63건(12.8%), 폴란드가 16건(3.3%), 러시아가 11건(2.2%), 네덜란드가 7건(1.4%), 프랑스가 7건(1.4%), 홍콩이 6건(1.2%), 일본이 5건(1.0%), 태국이 4건(0.8%), 스페인이 4건(0.8%), 중국이 3건(0.6%), 영국이 2건(0.4%), 덴마크가 2건(0.4%), 이탈리아 2건(0.4%), 우크라이나가 1건(0.2%), 오스트레일리아가 1건(0.2%), 유럽이 1건(0.2%), 포르투갈이 1건(0.2%) 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 15건(37.5%), 독일이 10건(25.0%), 미국이 10건(25.0%), 폴란드가 2건(5.0%), 덴마크가 1건(2.5%), 중국이 1건(1.0%)로 나타났다.

 

 

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

2014. 보안업계의 현실


원래 쓰려고 했던 글이 아니다. 문득 기사를 보다보니 최다금액 체불업체가 이 분야에서는 누구나 들어보고 알 수 있는 업체가 랭크되어 있어서 빠르게 떠오르는 단상들을 그대로 적어 보았다.  페북에 쓴 내용들이 파편화 되어 있어서 하나의 글로 묶어서 게재 한다.  영세 보안산업이 전체 IT를 보호 할 수 있을까?  



위의 기사에서 보안업계와 관련이 있는 기업이 소프트런이 된다.  여기서는 해당 회사의 문제를 지적하고자 하는 것이 아니라 보안이라는 분야가 한국 SW 분야나 IT 분야에서 어떤 비중을 가지고 있는지 보고자 한다.  보안사고가 나도 이럴진대 대체~~



보안업계의 현실.

뭐 길게 말할 필요도 없다. 이중 최상위 업체인 소프트런의 경우 PMS를 운영하는 업체. 거의 대부분의 기업들에 도입이 되어 있을텐데.. 운영체제의 보안패치를 일괄적으로 설치하게끔 해주는 업체라 할 수 있다. 뭐 다른 문제가 있을 수도 있지만, 서비스에 대한 관리 비용과 보안의 일관성을 유지한다는 측면을 고려하지 않으니 당연히 서비스 유지율에 대한 비용을 인정받기 어려웠으리라..

뭐 다른 보안업체들이라고 무사할까?
소위 억지로 끌어 낼 매출이라도 있는 상위 업체들 몇 곳을 빼고 그 이외의 대부분의 보안 관련 업체들은 영세 SW.SI 업체에 포함된다고 봐야 하는데 다 적자 아닐까?

그렇다고 올해는 나아질 수 있을까?
그럴 가능성은 그다지 높지 않다고 본다.

새로운 혁신과 변화를 추구하지 않는다면 어렵다고 봐야 한다.

더 이상 도입할 장비나 제품이 없는 기업들..
주기적으로 실행해야 하는 인력기반의 프로젝트 ( 모의해킹 , 인증, 심사, 관제 )만 정기적이고, 강제적으로 발생될 뿐이다. 그 이외에는 없다.

새로운 장비라해서 APT 대응장비라고 한다해도 이젠 그 장비를 꽂을 포트라도 있을까 의문이다.~

마른 수건 쥐어짜봐야 더 나올 물이 없다. 물이 마르는 것은 가장자리부터 마르기 시작해서 중심부로 들어간다. 중심부의 몇몇 기업들도 한계에 직면하긴 마찬가지 일 것이다. 단지 조금 더 늦은 현실자각이 올뿐...

만약 지금까지 고민을 해왔고 근본 현실에 대해서 검토를 했었다면 기회는 있을 수 있다. 연구가 되고 방향성을 잡았다면 대대적 비용 투자 없이도 할 수 있는 서비스나 일관성 유지를 위한 체계. 저비용으로 위험을 제거하고 대응 할 수 있는 서비스 ...

그리고 지금까지의 보안 서비스나 보안제품들에도 부가될 수 있는 내용들을 덧붙여서 밸류를 높이는 상황..이런 방안들이 필요한 상황이다.


고민 하기 싫고, 연구 안했다면 그냥 말라 죽을 수밖에 없다.
영업력으로 마른 수건을 쥐어짜기에는 이젠 더 나올 물도 없다. 
이게 지금 현실이다.



-> 추가 의견


강제적 실행이 필요한 인력 유지 분야 ( PT , 인증, 관제)를 제외한 거의 모든 보안 산업 분야에서 70~80% 이상의 기업 종말이 예상. 뭐 인력유지 분야도 발전 없기는 매 한가지이고. 정말 중요한 것은 기존의 보안 체계와 현실의 위협이 달라졌음에도 불구하고, 이전의 대응방식으로 처리를 하고 있다는 심각한 문제. 이젠 가릴 수 있는 손도 더 없는 상황이라 .. 이건 이미 2013년에 확실히 증명됨. 따라서 앞으로는 외국계 몇몇과 국내 인력기반 산업을 유지하는 곳, 상징적인 곳 한~두곳을 제외하고는 모두 제살 깍기외에는 안되고 종말 예상됨. 그래서 정부자금이나 프로젝트에 목을 매는 상황이 엄청나게 계속 될 것임. 이런 허무한 연구프로젝트 없으면 모두 죽음. 

지원해줘도 죽고, 안해줘도 죽음.. 그럴바엔 차라리 모두 정리될 가능성이 높은 현재의 상황이 더 나을지도... 경영환경이 악화된 지난해 하반기부터의 경제 시그널이라면 더 이상 유지는 안될듯

악순환은 무너지고 난 뒤에야 풀릴 수 있는법.


악순환을 해소하기 위한 방안이 무엇일까? 라는 질문에 대한 답변으로 달은 글


현상유지하기에 바쁜데 혁신과 변화라는 말이 귀에나 들어오겠냐? 매번 나오는 돈 받고 유지하기에도 바쁜데 말이야.. 그러니 매번 똑같은 챗바퀴나 돌리고 있을뿐. 외국 회사들에게 안 밀리려면 제대로 연구라도 해야 하는데 그놈의 영업력과 인맥으로 지금까지 버티고 온거 아닌가 말이지.. 안 좋아도 이래저래 선타고 들어오면 도입은 해줘야 하고 ㅋㅋ.. 

결론은 매출을 올리려고 노력하지 말고, 눈을 크게 뜨고 변화를 관찰한 이후 노력을 하란거지. 
근본적으로 그나마 경쟁력을 가질 수 있는 그런 부분들 말이야.. 규모에 맞는 , 수준에 맞는 것을 보는 것도 가장 중요. 

예를들면 .. 설치형 제품으로는 도저히 영업력 경쟁이나 지원이 불가능한 규모이니 서비스 형태로 컨셉을 잡고 개발한다. 또한 외국회사 제품의 경쟁력 보다 나은 지점을 몇개라도 확실히 확보한다 뭐 이 정도는 되어야지.. 구글의 방대한 디비를 이길 수 있는 방법은 뭐라고 생각해? 그 회사를 이길 수 있는 방법은 없어. 누구나 다 알듯이 그 회사를 이기는 것은 영역을 좁히고, 그들보다 빠르게 할 때에야 일시적인 우세를 가질 수 있다. 

구글의 SB 는 궤도위성 , PCDS는 정지위성~ 뭐 이런 차이 말이야.. 여기다대고 사람들은 또 그러긴 하지.. 그래도 전 세계 커버는 안되잖아요?.. ^^; 한국에서 전 세계 웹서비스 들어갈 일은 뭐람? 암튼 이런 식으로 변화되고 살아날 수 있는 방안을 자체적으로 해어야 됐는데 지금 우리는 빵점에 가까울껄..

어줍잖게 똑같은 흉내나 내고 말이야 ( 연구인력도 극히 부족, 연구비도 극히 빈약 , 지원도 없어...근데 모양만 찍어냄.. ) 이러니 악순환이 반복이 되지. 누군가가 밖으로 나가지 않으면 이 악순환의 챗바퀴는 멈추지 않아.. 그리고 모두다 죽는거지!

제품 껍데기는 좋게 만들 수 있다. 그러나 지금 같은 가혹한 위험 상황에서 기본 기능도 안되면 역시 국산은 안된다. 이 소리만 듣지.. 그러니 책임 전가하기 좋은 외산으로 도입하는 것이구. 이것보고 국산은 차별한다 또 이런 소리들이나 하지. 

연구개발도 안하고 매일마다 똑같은일 시키는 반복 업무하니 인력들이 전문성을 확보하지 못하고 좌절하다 이탈하게 되는 것이고.. 이건 기업의 경쟁력이 오로지 싼 인력을 누가 얼마나 더 확보하냐하는 인건비 경쟁으로 넘어가는 것이니 인력송출회사와 다를바가 없지. 이럼서 전문분야라고 하면 안되는 것이고.. 사건/사고 났을때 어디 대응이라도 하냐? 보안 전문회사가 일반 IT회사보다도 전문성이 떨어지면 그걸 누가 신뢰하냐고?

이러니 악순환이 끊임없이 도는 것!

끊는 방법은 마약이나 담배 끊듯이 금단현상을 극복해야 하는데 지 회사 아니라고 생각하는 분들이 대부분인데 누가 이러나? 당장 실적에 쫗기지 않는 경영자 있음 나와보라 그래.. 그러니 연구개발은 개뿔이 되는거지..

결론은 수준에 맞는 창의적 발상과 남들과 차별화 될 수 있는 강력한 포인트, 남들보다 더 제공이 가능한 부가 서비스를 통해 레벨을 높이는 것 이런 것 이외에는 답이 없다라고 본다. 그리고 알고 있다고 해도 현 상태로는 답 안나올듯.



여기에 현재의 보안산업의 문제와 현실 그리고 미래방향이 일정수준 들어 있다고 본다.

오래 전부터 지금까지 그곳에 있는 관계로 방향의 변화는 유기적이여야만 생존 할 수 있다.


보안이라는 분야를 보자. 기술의 발전과 동떨어져서 움직일 수가 없다. 과연 그 분야에서 그만큼의 노력을 해서 따라가려는 시도를 했었나?   공격 기술의 발전이든 IT 기술의 발전이든 기술의 수준과 적용성은 이미 글로벌화가 되어 있다. 그 상황에서 인맥을 통한 영업과 외국제품 딜러 형식의 판매가 과연 자양분이 되었을까?


칼에 묻은 꿀인줄 알면서도 핧을 수 밖에 없는 것. 그렇게 출혈은 나게되고 죽어간다.!


2014년은 정리가 되는 해가 될 것이다. 도저히 거스를 수 없는 기술의 수준과 파급이 닥쳐 왔었고 이제 직면하고 있는 상황에서 기존의 관념으로 이 영역은 우리가 한다~~ 뭐 이런 말도 안되는 이야기는 아무런 의미가 없다.


시장은 무너지고 재편된다. 강제적인 양분의 투입도 한계치다. 도저히 흉내내기 어려운 상황에서 대체 무엇으로 사기를 친단 말인가?


지금 보안산업의 문제점, 직면하고 있는 과제와 도전에 대해서 느끼는대로 써 보았다. 또한 그 해결의 실마리에 대해서도 말이다.  연구하고 준비하지 않았다면 이제 서서히 몰락을 느낄 때다. 이제부터는 속도가 빨라질 것이고.. 설 자리는 더욱 좁아질 것이다. 구조조정 정도로는 택도 없을 것 같으다.


- 2013년 1.6 바다란

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 4주차 한국인터넷 위협지수>

12월 4주 전체 발견된 유포지(웹 사이트)의 증가는 지속되는 모습을 보였지만 신규 경유지(악성링크) 및 파급력은 매우 낮은 수치를 기록하였다. 금주 국내 도메인을 이용한 악성링크가 다수 등장한 가운데 최종 바이너리로 연결 시 IP주소와 PORT번호를 변경하여 백신 탐지를 회피하는 정황도 확인되었다. 일부 바이너리는 국내 백신을 우회하는 정황이 발견되었으며 추가적 행동을 위해 C&C 서버와 지속적으로 통신하는 모습도 관찰되었다. 또한, 레드킷 역시 꾸준한 활동을 이어가는 가운데 최근에는 하나의 웹 페이지 내에 매개변수가 다른 링크를 다수 삽입하는 모습이 나타났으며 그 결과 전체 발견된 유포지(웹사이트)의 증가에 영향을 주었다. 게다가, 레드킷을 통해 나타난 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 일부 포착되었으며 최초 링크를 차단하지 못한다면 피해가 확산될 것으로 예상된다. 금주 신규 경유지와 파급력은 감소하였지만 (감염될 수 있는) 통로가 여전히 열려 있고, 언제든지 이용될 수 있는 위협이 존재하지만, 악성링크를 통한 영향력 측면에서는 소강상태가 유지되고 있어 인터넷 위협 수준을 "주의" 단계로 하향 조정한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 월요일 ∼ 일요일까지 전시간에 걸쳐 악성링크의 활동이 있었으며 특히, 지난주와 비슷하게 주말에는 더욱 수치가 증가하는 모습을 보였다. 악성링크의 움직임이 한정되지 않은 만큼 지속적인 관찰과 범위 파악을 통한 대응이 필요할 것으로 보인다.

<최근 1달 악성링크 도메인 통계>

11월 3주차부터 12월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 214건(36.6%)으로 지난주에 비해 다소 감소하였으며, 미국이 205건(35.0%), 독일이 71건(12.1%), 폴란드가 17건(2.9%), 러시아가 15건(2.6%), 홍콩이 11건(1.9%), 네덜란드가 10건(1.7%), 프랑스가 10건(1.7%), 태국이 8건(1.4%), 일본이 4건(0.7%), 영국이 3건(0.5%), 우크라이나가 3건(0.5%), 스페인이 2건(0.3%), 오스트레일리아가 2건(0.3%), 싱가포르가 2건(0.3%), 이탈리아 2건(0.3%), 유럽이 2건(0.3%), 포르투갈이 2건(0.3%), 중국이 1건(0.2%), 스웨덴 1건(0.2%), 터키가 1건(0.2%), 캐나다가 1건(0.2%), 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 30건(30.6%), 독일이 24건(24.5%), 미국이 18건(18.4%), 러시아가 5건(5.1%), 태국이 4건(4.1%), 홍콩이 3건(3.1%), 폴란드가 3건(3.1%), 프랑스가 3건(3.1%), 네덜란드가 3건(3.1%), 스페인이 1건(1.0%), 포르투갈이 1건(1.0%), 영국이 1건(1.0%), 오스트레일리아 1건(1.0%), 유럽이 1건(1.0%)로 나타났다.

 

끝.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

12월 3주 전체 발견된 유포지(웹사이트) 및 신규 경유지(악성링크)는 증가하는 모습을 보였지만 신규 공격코드의 파급력은 지난주와 다르게 대폭 감소하는 모습을 보였다. 지난주와 달리 사용자의 방문이 많은 사이트에서의 유포 감소로 인해 효율적인 공격이 이루지지 못해 파급력이 하락한 이유로 판단된다. 하지만, 전체 발견된 웹사이트는 11월 이후 꾸준히 증가세를 유지하고 있다. 레드킷의 활동이 다시 시작된 가운데 레드킷 이외에 유포된 사이트에서는 지난주와 마찬가지로 대응에 혼란을 주기 위한 시간차 공격이 일부 웹사이트를 통해 나타났으며 소규모 MalwareNet도 함께 관찰되었으며 이들은 대부분 파밍 악성코드와 백도어 종류의 악성코드로 확인되었다. 일부 바이너리의 분석 결과 중국 SNS 서비스인 QQzone로 C&C 연결을 시도하는 현상도 관찰되었다. 신규 공격코드 파급력은 줄어들었지만 전체 발견된 유포지의 꾸준한 증가와 계속되는 시간차 공격과 MalwareNet의 출현으로 인터넷 위협 수준을 "경고" 단계로 유지한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 지난주와 다르게 평일 일부 시간대와 일요일 전시간에 걸쳐서 최대의 유포를 기록하였다. 앞으로도 공격자는 시간대에 상관없이 변칙적으로 유포를 할 것으로 보이기 때문에 지속적인 관찰이 필요하다.

 

<최근 1달 악성링크 도메인 통계>

11월 2주차부터 12월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 238건(42.4%)으로 지난주에 비해 다소 감소하였으며, 미국이 211건(37.6%), 독일이 33건(5.9%), 폴란드가 23건(4.1%), 홍콩이 8건(1.4%), 일본이 7건(1.2%), 러시아가 7건(1.2%), 네덜란드가 6건(1.1%), 프랑스가 6건(1.1%), 우크라이나가 4건(0.7%), 싱가포르가 3건(0.5%), 태국이 3건(0.5%), 이탈리아 2건(0.4%), 베트남이 2건(0.4%), 덴마크가 1건(0.2%), 영국이 1건(0.2%), 중국이 1건(0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 스페인이 1건(0.2%), 스웨덴 1건(0.2%), 헝가리 1건(0.2%) 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 26건(36.6%), 미국이 19건(26.8%), 독일이 7건(9.9%), 폴란드가 7건(9.9%), 태국이 3건(4.2%), 일본이 2건(2.8%), 홍콩이 2건(2.8%), 프랑스가 1건(1.4%), 러시아가 1건(1.4%), 스페인이 1건(1.4%), 우크라이나가 1건(1.4%), 덴마크가 1건(1.4%) 로 나타났다.

끝.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

11월 4주부터 시작된 악성링크의 영향력 및 비정상적인 활동은 금주까지 지속되었다. 특히, 신규 경유지(악성링크)의 수치가 낮아졌음에도 불과하고 신규 공격코드가 가진 파급력은 약 25% 상승하였으며 수치로 보았을 때 적은 수의 신규 경유지(악성링크)가 최대 300여곳을 활용하는 MalwareNet이 영향력 있는 사이트에 결합된 결과라 볼 수 있다. 또한, 지난주에 나타났던 파일공유(P2P) 사이트 이외에 금융권 사이트가 직접적인 MalwareNet을 포함한 악성링크 유포의 대상이 되었으며 메인 페이지뿐만 아니라 하위 페이지까지 주말기간동안 모두 악성링크의 영향을 받는 모습이 확인되었다. 또한, 11월부터 나타난 악성링크, 바이너리, C&C 서버의 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임은 금주에도 동일하게 관찰되었다. 더불어, hosts/hosts.ics 파일의 크기를 10MB로 늘려 파일변조 탐지를 우회하기 위한 모습 또한 지속적으로 관찰되고 있다. 금주에는 더욱 증가된 악성링크의 영향력과 대폭 증가한 MalwareNet 의 파급력, 금융권 사이트에 대한 직접적인 악성링크 유포로 인한 위협의 증가로 인해 인터넷 위협 수준을 "경고" 수준으로 계속 유지한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 화요일 ∼ 일요일까지 꾸준히 유포를 하는 모습이 나타났으며 목요일 이후로는 집중적인 악성링크의 활동이 있었다. 특히, 지난주부터 나타났던 주말을 이용하여 대대적인 악성링크의 활동이 나타나고 있어 지속적인 관찰이 필요하다.

<최근 1달 악성링크 도메인 통계>

11월 1주차부터 12월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 270건(44.4%)으로 지난주에 비해 많이 증가하였으며, 미국이 258건(42.2%), 독일이 20건(3.3%), 폴란드가 14건(2.3%), 네덜란드가 7건(1.2%), 프랑스가 6건(1.0%), 러시아가 5건(0.8%), 일본이 5건(0.8%), 홍콩이 4건(0.7%), 싱가포르가 4건(0.7%), 영국이 3건(0.5%), 이탈리아 2건(0.3%), 베트남이 2건(0.3%), 우크라이나가 2건(0.4%), 중국이 1건(0.2%), 오스트레일리아가 1건 (0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 스웨덴 1건(0.2%), 헝가리 1건(0.2%) 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 미국이 66건(60.0%), 한국이 39건(35.5%), 프랑스가 2건(1.8%), 네덜란드가 1건(1.1%), 영국이 1건(1.1%), 일본이 1건(1.1%) 으로 나타났으며 도메인의 다양성이 나타나지 않은 이유는 레드킷과 블랙홀익스플로잇킷의 활동이 감소한 것에 따른 영향으로 판단된다.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

[인터넷 위협 수준: 경고]

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

12월 1주 전체 발견된 유포지(웹사이트), 신규 경유지(악성링크), 신규 공격코드 파급력은 모두 지난주에 비해 증가했다. 특히, 지난주와 같이 언론사, 파일공유(P2P) 사이트와 같이 영향력이 높은 사이트를 통한 공격은 지속되었다. 특징적인 부분은 최소 80여곳에서 최대 200여곳의 웹사이트를 보유한 대규모 MalwareNet과 결합되어 감염비율을 극대화하려는 공격형태가 높은 수준으로 관찰되었으며, 공격성공시에는 파밍 악성코드 이외에 백도어 유형까지도 감염이 발생되고 있어서 11월 4주차 대비 영향력 측면에서 확연하게 위험성이 증가된 것으로 판단된다. 금주 IE-보안취약점(CVE-2013-3897)을 단독적으로 사용한 악성링크의 등장과 함께 일본도메인(.jp)을 직접적인 공격통로로 활용하는 공격이 출현한 상태라 향후 변화가 예상된다. 공격 특징으로는 동일한 악성파일의 MD5값만을 계속 변경하는 형태를 통해 바이너리, C&C 서버의 변경이 계속되는 것이 관찰 되고 있어서 지속적인 관찰이 요구되고 있다. 또한 레드킷 역시 지속적으로 국내 웹사이트에 영향을 주는 상황이다. 금주 지난주 보다 대폭 증가된 MalwareNet 을 통한 파밍 및 트로이목마 악성코드 유포와 같이 영향력이 더욱 증가된 상태가 관찰됨으로 인터넷 위협 수준을 "경고" 수준으로 계속 유지한다.

<시간대별 통계>

시간별 통계를 살펴보면 월요일 ∼ 일요일까지 꾸준히 유포를 하는 모습이 나타났다. 특히, 토요일 오후 ∼ 일요일까지 주말 사이에 집중적으로 유포가 이루어졌으며 지난주에 비해 1∼2건 이상 유포 빈도수가 증가 하였다,

 

<최근 1달 악성링크 도메인 통계>

10월 4주차부터 12월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 240건(49.7%)으로 지난주에 비해 많이 증가하였으며, 미국이 159건(32.9%), 독일이 24건(5.0%), 폴란드가 16건(3.3%), 네덜란드가 8건(1.7%), 러시아가 7건(1.4%), 홍콩이 4건(0.8%), 일본이 4건(0.8%), 싱가포르가 4건(0.8%), 프랑스가 3건(0.6%), 중국이 2건(0.4%), 이탈리아 2건(0.4%), 우크라이나가 2건(0.4%), 베트남이 2건(0.4%), 스웨덴이 1건(0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 헝가리 1건(0.2%), 영국이 1건(0.2%), 오스트레일리아가 1건 (0.2%)등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 48건(53.3%), 미국이 28건(31.3%), 독일이 4건(4.4%), 네덜란드가 3건(3.3%), 폴란드가 2건(2.2%), 러시아가 2건(2.2%), 중국이 1건(1.1%), 일본이 1건(1.1%), 프랑스가 1건 (1.1%) 등으로 나타났다. 한국 도메인을 공격통로로 이용하는 현상은 계속해서 높은 수준을 보이고 있어서 차단 및 대응에 어려움이 예상된다. 향후에도 계속 증가 추세를 보일 것으로 판단된다.

 

12월 1주차의 결과는 적극적인 영향력 확대가 관찰되고 있어서 여전히 심각한 위협수준에 노출 되고 있는 것으로 판정 할 수 있다. 상세한 내용은 유료 정보제공 서비스를 통해서 확인 할 수 있다.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔